Wie schon bei den grundsätzlichen Erklärungen zum Mitbestimmungstatbestand „Arbeitnehmerüberwachung“ erwähnt, ist es nicht das vorrangige Ziel dieses Mitbestimmungsrechts, jede Form der Verhaltens- oder Leistungskontrolle kategorisch zu verhindern. Es kann durchaus Fälle geben, in denen dieses Instrument sinnvoll angewandt werden kann.

„Überwachung“ klingt nach Stasi, NSA und „Big Brother“, und deshalb ist die erste Reaktion natürlich, dass man dagegen sein muss. Betrachtet man den Mitbestimmungstatbestand und die in der Praxis eingesetzten Systeme aber genauer, wird man feststellen, dass das, was der Gesetzgeber mit diesem Mitbestimmungsthema meint, gar nicht immer negativ sein muss.

Worum geht es bei Arbeitnehmerüberwachung?

Noch einmal zur Erinnerung: Jede technische Einrichtung, die ein Tun (oder Unterlassen) eines Arbeitnehmers wahrnehmbar macht, fällt unter dieses Mitbestimmungsrecht. Wenn jemand z. B. in einem Word-Dokument einen Kommentar hinterlässt, mit dem er einen Verbesserungsvorschlag zu einer Formulierung macht, fällt das unter das Thema „Arbeitnehmerüberwachung“, weil im Kommentar sein Name und der Zeitpunkt der Kommentierung steht. Soll das wirklich verhindert werden? Wenn ich als Autor des Dokuments eine Frage an den Kollegen habe, der den Kommentar geschrieben hat, wäre es ja ganz hilfreich, wenn ich wüsste, an wen ich mich wenden soll.

Wenn man in der Materialwirtschaft eines ERP-Systems wie SAP feststellt, dass ein bestimmtes Material fehlt, dann aber sieht, dass es bereits vor zwei Wochen nachbestellt wurde, kann es ja ganz nützlich sein, den Besteller zu fragen, ob er weiß, warum das Material noch nicht geliefert wurde. Dazu muss man aber wissen, wer der Besteller ist. Das bedeutet aber, dass der Name des Bestellers mit in der Bestellung angezeigt wird, und schon wird wieder eine Einrichtung zur Verhaltenskontrolle benutzt.

Wir verwenden im Büro eine einfache Excel-Tabelle, in der wir festhalten, was zu tun ist, um unsere Seminare vorzubereiten – wenn man so will ein „Ticketsystem für Arme“. Wenn eine Kollegin krank ist, schauen die anderen Kolleginnen nach, was sie an dem Tag für Aufgaben hatte, und dann erledigen sie das möglichst mit. Und wenn eine Kollegin gerade nichts zu tun hat, schaut sie auch in diese Liste, um nachzuschauen, ob es vielleicht etwas gibt, das sie einer anderen Kollegin abnehmen kann. Solch eine To-Do-Liste kann ja ganz praktisch sein, um die Zusammenarbeit zu verbessern und sicherzustellen, dass keine wichtige Aufgabe vergessen wird. Aber sie ist natürlich auch ein Instrument, mit dem das Verhalten (oder sogar die Leistung) von Arbeitnehmern überwacht werden kann.

Allein in unserem kleinen Büro mit sechs KollegInnen finden sich auf Anhieb ca. 70 verschiedene Einrichtungen, die allesamt unter den Mitbestimmungstatbestand des § 87 Abs. 1 Nr. 6 BetrVG fallen, und ich bin noch nicht einmal besonders kontrollwütig – es sind einfach die üblichen technischen Systeme wie Windows, Linux, Datenbankserver, Office 365, Exchange, SharePoint, ein paar Excel-Tabellen, Reservierungssoftware für unsere Seminare, elektronisches Türschloss, Telefonie, Fax und was man eben so im Büro braucht.

Es ist also nicht so einfach mit diesem Mitbestimmungsrecht. Man kann in eine Betriebsvereinbarung zwar einen Satz im Sinne von „Es finden keine Verhaltens- oder Leistungskontrollen statt“ schreiben. Dann müsste man aber auf praktisch alles, was einen Stecker hat, verzichten – abgesehen vielleicht vom Kühlschrank und der Kaffeemaschine (die allerdings bei uns im Büro auch die unverzichtbarsten Einrichtungen sind).

Differenzierte Betrachtung

Deshalb muss man das Instrument „Verhaltenskontrolle“ etwas differenzierter und auch ohne Vorbehalte betrachten. Es gibt ohne Zweifel eine Fülle von Einrichtungen, bei denen man einer Verhaltenskontrolle skeptisch gegenüberstehen sollte. Aber es gibt eben auch durchaus nützliche Anwendungen, die ihren Nutzen erst dadurch erfahren, dass sie das Tun von Arbeitnehmern in irgendeiner Weise transparent machen.

Dem Wunsch, Verhaltenskontrollen konsequent verhindern zu wollen, liegt allerdings oft das Missverständnis zugrunde, dass man die objektive Eignung mit dem Zweck verwechselt. Dass eine technische Einrichtung Informationen über ein Tun verarbeitet, ist allein schon eine Verhaltenskontrolle. Ob sie dann auch dafür genutzt wird, das Verhalten zu beobachten, zu überwachen, zu beurteilen etc., ist eine Frage des Zwecks, zu dem man diese Einrichtung nutzt. Und an der Stelle sollte dann auch die Mitbestimmung ansetzen.

Was, wenn die Einrichtung gar nicht für Kontrollzwecke genutzt werden soll?

Wenn der Arbeitgeber aber sagt „Ja, die Einrichtung sammelt Daten, aber die schauen wir uns nie an“, dann bedeutet das noch nicht, dass die Einrichtung ohne Vorbehalt akzeptabel ist. Eine einfache Lösung wäre in diesem Fall natürlich eine Betriebsvereinbarung, in der sinngemäß steht

Die technische Einrichtung protokolliert aus technischen Gründen Daten über das Tun der Arbeitnehmer. Der Arbeitgeber sichert zu, dass diese Daten niemals und unter keinen Umständen von ihm oder anderen Stellen genutzt werden.

Fraglich ist aber dennoch, ob es denn wirklich erforderlich ist, dass die Einrichtung diese Daten protokolliert. Zumindest müsste man prüfen,

  • ob es nicht möglich ist, die Protokollierung auszuschalten,
  • ob und in welchen Abständen die protokollierten Daten gelöscht werden und
  • ob es nicht eine gleich gut geeignete andere Einrichtung gibt, die den gleichen Zweck erfüllt, aber auf die Protokollierung von Daten über das Tun der Arbeitnehmer verzichtet.

Prüfung der Verhältnismäßigkeit

Wie bereits erwähnt: Jede Kontrolle des Verhaltens ist immer ein Eingriff in Persönlichkeitsrechte. Dieser Eingriff ist grundsätzlich nicht zulässig – es sei denn, er ist gerechtfertigt. Diese Rechtfertigung muss gewissen Ansprüchen genügen. Deshalb muss man im Wege der Mitbestimmung prüfen, ob die Rechtfertigung genügt, um den Arbeitnehmern den Eingriff in ihre Persönlichkeitsrechte zumuten zu können.

Die Rechtsprechung hat vier Kriterien entwickelt, anhand derer man prüfen kann, ob die Nutzung einer technischen Einrichtung für Zwecke der Überwachung akzeptabel ist oder nicht. Diese vierstufige Prüfung schauen wir uns jetzt an. In ihr werden vier Aspekte beurteilt:

  • Legitimität der Zecke der Überwachung
  • Eignung der Einrichtung für die Erfüllung der Zwecke
  • Erforderlichkeit der Einrichtung und
  • Zumutbarkeit für die Arbeitnehmer.

Voraussetzung: Zweckbestimmung

Ausgang der Prüfung ist die Festlegung von Zwecken. Der Arbeitgeber schafft eine technische Einrichtung ja an und betreibt sie, um damit bestimmte Zwecke zu erfüllen. Das gilt auch im Hinblick auf die Möglichkeiten der Arbeitnehmerüberwachung.

Die Frage ist also: Welchem Zweck soll denn die Möglichkeit einer Überwachung dienen? Gibt es überhaupt einen Zweck? Wenn es keinen Zweck gibt, dann wäre die Überwachung ein sinnloser Eingriff in Persönlichkeitsrechte, und der kann nicht gerechtfertigt sein.

Die Bestimmung der Zwecke obliegt dem Arbeitgeber und ist noch nicht Gegenstand der Mitbestimmung. Er entscheidet ja, ob er ein bestimmtes Bedürfnis hat, das er mit der technischen Einrichtung erfüllen möchte. Daher hat der Betriebsrat über die Festlegung der Zwecke an sich noch nicht mitzubestimmen. Ob die Zwecke legitim sind, ist allerdings eine Frage, die einer Bewertung unterliegt. Diese Bewertung ist der erste der vier Schritte, die bei der Mitbestimmung durchgeführt werden.

Der Arbeitgeber muss dem Betriebsrat aber natürlich darlegen, wie die Zwecke lauten und ihm begründen, warum die Zwecke wichtig sind. Nur so kann der Betriebsrat beurteilen, ob er die Legitimität der Zwecke und die Eignung, Erforderlichkeit und Zumutbarkeit der Überwachung jeweils mittragen kann.

Sonderfall: Die Überwachung der Arbeitnehmer soll gar keinen Zweck erfüllen

Gibt es keinen Zweck für die Überwachung der Arbeitnehmer, wird es schwierig. Solche Fälle kommen immer wieder vor. Die Einrichtung erfüllt zwar hinsichtlich ihrer Funktionen sinnvolle Zwecke, dass dabei auch Daten über das Verhalten von Arbeitnehmern entstehen, ist quasi unvermeidlicher „Beifang“.

In diesem Fall müsste man prüfen, ob die technische Einrichtung denn an sich einen nützlichen Zweck erfüllt und man die Möglichkeit der Überwachung auf irgendeine Weise deaktivieren kann. Vielleicht kann man die Einrichtung so konfigurieren, dass gar keine Daten über das Verhalten erzeugt werden, z. B. indem man eine ggf. vorhandene Protokollfunktion deaktiviert. Oder man sucht nach Wegen, die Daten zu pseudonymisieren, also die Personenbezug durch Pseudonyme zu ersetzen, die sich nicht auf eine bestimmte Person zurückführen lassen.

Ist es nicht möglich, eine Einrichtung, die Verhalten überwachen kann, ohne dass es dafür einen Zweck gibt, in dieser Weise zu betreiben, müsste man klären: Muss es denn genau diese Einrichtung sein, oder gibt es nicht ein anderes System, z. B. eine andere Software, das den gleichen Zweck erfüllt, dabei aber auf die Möglichkeit der Verhaltenskontrolle verzichtet.

Wenn auch das scheitert, wäre es konsequent, ganz auf den Einsatz der Einrichtung zu verzichten. Das ist allerdings manchmal nicht möglich, weil sie unbedingt benötigt wird. In dem Fall wäre die – wenn auch schlechteste – Lösung, dass man sich in einer Betriebsvereinbarung darauf verständigt, dass die Einrichtung zwar Informationen über das Verhalten der Arbeitnehmer erzeugt, dass diese Informationen aber keinesfalls für irgendeinen Zweck verwendet werden dürfen. Ggf. müsste man sich dann über einen Zugriffsschutz und Löschregeln für die Daten solch einer Einrichtung verständigen.

Regelfall: Vierstufige Prüfung

Gibt es aber einen oder mehrere Zwecke für die Verwendung der Daten über das Verhalten der Benutzer, müssen diese Zwecke so konkret wie möglich und abschließend aufgezählt und formuliert werden.

Bei der Kenntlichmachung von Autoren und Kommentatoren in Word-Dokumenten wäre der Zweck also z. B. „Unterstützung der Anwender bei der Erstellung und Bearbeitung von Dokumenten, insbesondere bei der gemeinsamen Bearbeitung“. Unsere To-Do-Tabelle im Büro hat den Zweck „sicherzustellen, dass die benötigen Unterlagen und Materialien für alle Seminare rechtzeitig, vollständig und richtig bereitgestellt und versandt werden“. Nicht immer ist es so einfach, konkrete Zwecke zu benennen, weil es oft einen ganzen Katalog von Zwecken gibt. Aber da sollte man sich schon die Mühe geben, diesen Katalog so genau wie möglich zusammenzustellen. Im Übrigen ist das vor allem die Aufgabe des Arbeitgebers – er will die Einrichtung ja einführen.

Natürlich gibt es auch Zwecke, die wirklich auf die Überwachung selbst abzielen, z. B. „Aufdeckung und Aufklärung von Diebstählen, Beschädigungen und anderen Straftaten durch Ermittlung der Täter und des Tathergangs“. Wenn das der Zweck sein soll, dann sollte man auch ehrlich genug sein, ihn konkret zu benennen. Das heißt ja noch nicht, dass der Betriebsrat dem auch zustimmt.

1. Schritt: Ist der Zweck legitim?

Wenn ein Zweck bestimmt wurde, stellt sich die Frage: Ist dieser Zweck legitim? Repräsentiert er also ein berechtigtes, billigenswertes Interesse des Arbeitgebers?

Diese Frage ist natürlich eine Ermessensentscheidung, es gibt keine Tabelle oder Liste von berechtigten Interessen. Genau aus diesem Grund hat der Betriebsrat ja mitzubestimmen: Er übt dieses Ermessen gemeinsam mit dem Arbeitgeber aus – das ist Mitbestimmung.

Wenn der Zweck auf einer gesetzlichen Pflicht des Arbeitgebers beruht, wird es sicher leichter fallen, die Berechtigung des Interesses zu erkennen. Ggf. greift dann aber ohnehin der Eingangssatz des § 87 Abs. 1 BetrVG – der Betriebsrat hat ja nur dort mitzubestimmen, wo keine (abschließende) gesetzliche Norm die Angelegenheit regelt.

Verfolgt der Arbeitgeber mit den Zwecken Interessen, die gegen die der Arbeitnehmer gerichtet sind, wird der Betriebsrat sich voraussichtlich schwer damit tun, der Legitimität dieser Zwecke zuzustimmen. Kann der Betriebsrat der Berechtigung der Zwecke zustimmen, ist dieser Schritt erledigt.

Können sich Arbeitgeber und Betriebsrat nicht über die Frage einigen, ob die Zwecke legitim sind, entscheidet darüber die Einigungsstelle.

2. Schritt: Ist die Einrichtung geeignet, den Zweck zu verwirklichen?

Hat man sich darauf geeinigt, dass der bzw. die Zweck(e), die der Arbeitgeber mit dem Einsatz der Einrichtung verfolgt, legitim sind, ist als nächstes zu klären, ob das Instrument denn überhaupt geeignet ist, diese Zwecke auch zu verwirklichen. Das BAG formuliert es so:

Geeignet ist die Regelung dann, wenn mit ihrer Hilfe der erstrebte Erfolg gefördert werden kann.

1 ABR 21/03 vom 26.06.2004

Das ist vor allem eine technische bzw. praktische Frage, und die unterliegt durchaus wieder einem Ermessen, das im Wege der Mitbestimmung durch die Betriebsparteien ausgeübt wird. Die Parteien müssen also entscheiden, ob sie die Einrichtung für geeignet halten, die jeweiligen Zwecke zu erfüllen.

Können sich Arbeitgeber und Betriebsrat nicht über die Frage einigen, ob die Einrichtung geeignet ist, die Zwecke zu erfüllen, entscheidet darüber die Einigungsstelle.

Nehmen wir einige Beispiele zur Verdeutlichung:

Elektronisches Schließsystem

Der Arbeitgeber plant, eine elektronische Türschließanlage zu installieren, bei der die Schließzylinder den Benutzer z. B. durch Magnetkarten oder RFID-Transponder identifizieren, um dann zu entscheiden, ob er die Tür öffnen darf oder nicht. Soweit fällt diese Einrichtung noch nicht unter die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG, denn es fehlt an der eigentlichen Überwachung, also am „wahrnehmbar Machen des Tuns“ der Arbeitnehmer. Dieses Merkmal wird aber dann erfüllt, wenn die Einrichtung protokolliert, wer wann – ob mit oder ohne Erfolg – versucht hat, eine Tür zu öffnen. Gibt es auch nur die Möglichkeit eines solchen Protokolls, sind alle Mitbestimmungstatbestände des § 87 Abs. 1 Nr. 6 BetrVG erfüllt, und der Betriebsrat hat mitzubestimmen.

Der Arbeitgeber sagt nun, er brauche diese Daten zu zwei Zwecken:

  • Er will die Möglichkeit haben, Diebstähle aufzuklären – dazu muss er wissen, wer sich wann wo aufgehalten habe.
  • Er will „saldieren“ wie viele Personen sich jeweils in welchen Bereich aufhalten, damit er im Falle einer Evakuierung (z. B. bei einem Brand) weiß, wie viele Personen sich in welchem Sammelbereich einfinden müssen.

Die Voraussetzung ist also erfüllt – es gibt Zwecke für die Verarbeitung dieser Daten.

Ob die Zwecke auch legitim sind, muss man im ersten Schritt prüfen und einvernehmlich entscheiden. Vermutlich wird man aber zum Ergebnis kommen, dass der Arbeitgeber ein billigenswertes Interesse daran hat, dass diese Zwecke verwirklicht werden.

Die Frage in diesem zweiten Schritt ist nun, ob die Protokollierung denn überhaupt maßgeblich dazu beiträgt, dass diese Zwecke erfüllt werden.

Es fehlt an den Türen an einer Vereinzelungsanlage. Wenn eine Tür geöffnet ist, können also beliebig viele Personen sie durchqueren. Das Protokoll verrät nicht, wer die Tür durchquert hat, sondern lediglich, wer sie geöffnet hat.

Außerdem kann man den Bereich in der Regel verlassen, ohne die Tür durch die Karte freigeben zu müssen – das ist schon aus Gründen der Sicherheit (z. B. bei einem Feueralarm) notwendig. Also wird das Verlassen des Bereichs nicht protokolliert.

Demnach gibt das Protokoll allein Auskunft über das Öffnen der Türen von außen, aber keinerlei Auskunft darüber, wer den Bereich wann betreten und wer ihn wann verlassen hat – also weiß man aus den Daten der Einrichtung überhaupt nicht, wer sich wann wo aufgehalten hat.

Bei der Frage, ob die Zwecke (also Diebstähle aufklären und Anzahl der Anwesenden in den unterschiedlichen Bereichen ermitteln) mithilfe der Protokollierung verwirklicht werden können, wird man voraussichtlich nur zum Ergebnis kommen können, dass diese Informationen nicht dazu beitragen, die Zwecke zu verwirklichen.

Wenn aber eine Einrichtung, die in Persönlichkeitsrechte von Arbeitnehmern eingreift, nicht dazu geeignet ist, die Zwecke, die damit verfolgt werden, zu verwirklichen, wäre der Eingriff nicht gerechtfertigt. Ein nicht gerechtfertigter Eingriff in Persönlichkeitsrechte ist unverhältnismäßig, und deshalb sollte der Betriebsrat bei der Ausübung seiner Mitbestimmungsrechte zum Ergebnis kommen, diesem Eingriff nicht zuzustimmen. Er sollte eine solche Protokollierung also ablehnen.

Übrigens hat auch der Arbeitgeber gar keinen Nutzen von dieser Art der Überwachung: Er treibt einen technischen und nicht zuletzt finanziellen Aufwand, der ihm aber im Falle eines Falles nicht dabei hilft, das zu erreichen, was er ja erreichen will.

Anders würde es sich ggf. verhalten, wenn z. B. der Raum, der mit einem bestimmten Schloss/Schließzylinder gesichert ist, selbst nur klein ist und eines besonderen Schutzes bedarf, deshalb auch nur eine sehr begrenzte Zahl von Personen Zutritt zu diesem Raum hat (z. B. der Raum mit dem Drogenschrank in einer Krankenhausstation). In diesem Fall würde die Information darüber, wer den Raum wann betreten hat, sicher helfen können, um Unregelmäßigkeiten aufzuklären.

Ereignisprotokoll in Windows

Windows protokolliert verschiedene Ereignisse. Ereignis kann jede Art von Vorgang sein, z. B. das Anmelden bei Windows, die Installation eines Programms, die Änderung der Uhrzeit, die Bearbeitung einer Datei, aber auch technische Probleme wie die Störung eines Dienstes oder einer Komponente etc. Welche Ereignisse jeweils protokolliert werden, kann z. B. über „Policies“, die meistens in der gesamten Windows-Domäne einheitlich eingerichtet sind, gesteuert werden.

Zum Ereignis selbst werden weitere Details erfasst, die oft auch die Bezeichnung des Benutzers enthalten, der zum Zeitpunkt des Ereignisses angemeldet war. Es handelt sich also um eine technische Einrichtung, die – ob in der Hauptsache oder als „Beifang“ – Informationen über das Tun von Arbeitnehmern bereitstellt. Ob dies auch der Zweck der Einrichtung ist, spielt ja keine Rolle, für die Auslösung der Mitbestimmung genügt der Umstand, dass Daten über das Verhalten von Arbeitnehmern erzeugt und verarbeitet werden.

Voraussetzung für den Einsatz ist, dass diese Verarbeitung überhaupt bestimmten Zwecken dient. Vermutlich wird der Arbeitgeber (bzw. der Administrator, der das System eingerichtet hat), zumindest folgende Zwecke nennen:

  • Technische Probleme und Störungen werden im Ereignisprotokoll erfasst; bei der Suche nach Fehlern und deren Ursachen sind die Informationen aus dem Ereignisprotokoll sehr hilfreich. Darum soll das Protokoll den Zweck erfüllen, die Beseitigung technische Probleme zu unterstützen.
  • Gefährdungen der Sicherheit (z. B. Versuche, von außen in das Netz des Unternehmens einzudringen, Schadsoftware zu installieren, Zugriffsrechte zu nutzen, die der Account nicht hat etc.), werden ebenfalls im Protokoll erfasst. Das Protokoll soll also auch den Zweck erfüllen, kritische Ereignisse im Zusammenhang mit der Sicherheit und Integrität der IT-Systeme zu entdecken und deren Ursachen zu beseitigen.
  • Möglicherweise gibt es gesetzliche Gründe (z. B. aus der DSGVO oder aus speziellen Vorschriften über die Sicherheit, etwa das Luftsicherheitsgesetz), die es erforderlich machen, den Nachweis über den korrekten Betrieb eines IT-Systems erbringen zu können. Das Protokoll soll den Zweck erfüllen, Daten zu liefern, die diesen Nachweis ermöglichen.

Damit ist die Voraussetzung, nämlich die, dass es überhaupt bekannte und möglichst eindeutig formulierte Zwecke für die Arbeitnehmerüberwachung gibt, erfüllt.

Die erste Frage ist, ob diese Zwecke auch legitim sind, also berechtigte Interessen des Arbeitgebers vorliegen, die den Zweck rechtfertigen. Das ist Ermessenssache, aber zumindest ich würde zum Ergebnis kommen, dass die Zwecke legitim sind.

Die Frage, die in diesem zweiten Schritt entschieden werden muss, lautet: „Ist die Verarbeitung der Daten über das Verhalten der Arbeitnehmer geeignet, die Zwecke zu erfüllen“. Aus eigener Erfahrung (ich bin selbst Admin unserer verschiedenen Systeme bei der JES) kann ich berichten: Das Ereignisprotokoll ist sehr hilfreich, wenn es darum geht, Fehler zu identifizieren und zu beseitigen. Ohne dieses Protokoll kann es sein, dass man stundenlang nach möglichen Ursachen von Fehlfunktionen oder Aussetzern sucht, und deshalb kann ich aus der Sicht eines Admins nur sagen: Das Ereignisprotokoll ist geeignet, zumindest den Zweck „Unterstützung bei der Fehlersuche“ zu erfüllen.

Hinsichtlich der anderen Zwecke („Sicherheit“, „Einhaltung gesetzlicher Bestimmungen“) muss man im jeweiligen Betrieb prüfen, ob das Ereignisprotokoll diese Zwecke erfüllen kann.

Ticketsystem

Ein Ticketsystem („ITS“ für „Issue-Tracking-System“, „RTS“ für „Request-Tracking-System“ etc.) wie ServiceNow, Remedy, HP OpenView, Jira und andere dient dazu, Ereignisse bzw. Vorgänge („Issues“) wie Anfragen oder Meldungen von internen oder externen Kunden, Fehler- oder Störungsmeldungen oder auch Arbeitsaufgaben zu erfassen, zu kategorisieren, zu priorisieren und bestimmten Stellen (Teams oder einzelnen Personen) zur weiteren Bearbeitung bis hin zur Erledigung zuzuweisen. Jeder Bearbeitungsschritt wird als Datensatz im Ticket abgelegt und mit unterschiedlichen Informationen angereichert, bis der Vorgang schließlich erledigt, das „Ticket gelöst“ ist. Das kann im IT-Support sinnvoll sein, aber auch zur Bearbeitung von Kundenanfragen im Vertrieb, in der Personalverwaltung oder für die Fehlerbearbeitung und Entwicklung von Funktionen der Softwareentwicklung.

Dabei werden Daten über verschiedene Personen verarbeitet:

  • Der „Auslöser“ des Tickets ist die Person, die das Problem oder die Frage oder allgemein ein Anliegen hat.
  • Der Erfasser ist die Person, die das Ticket im System erfasst hat. Der Erfasser kann mit dem Auslöser identisch sein (weil er das Anliegen selbst z. B. in einem Web-Portal erfasst hat), muss es aber nicht (z. B. weil in einem Call-Center/Helpdesk das Ticket im „First-Level-Support“ angelegt wurde).
  • Bearbeiter ist jede Person, die das Ticket in seinem Verlauf verändert, z. B. Informationen hinzufügt, Lösungsversuche für das Ticket unternimmt etc.
  • Löser ist die Person, die das Ticket final bearbeitet hat und es als „gelöst“ kennzeichnet (auch wenn das Problem vielleicht weiter besteht, aber dafür keine Lösung gefunden werden konnte).

Jeder Bearbeitungsvorgang wird einer bestimmten Person zugeordnet und mit einem Zeitstempel versehen. Wenn die bearbeitende Person ein Arbeitnehmer ist, handelt es sich bei solch einem Ticketsystem ohne Zweifel um eine technische Einrichtung im Sinne des § 87 Abs. 1 Nr. 6 BetrVG.

Es wird ein Tun von Arbeitnehmern erfasst und verarbeitet und damit wahrnehmbar gemacht, und in diesem Fall ist das auch kein „zufälliges Nebenprodukt“, wie vielleicht bei einem nur technisch geführten Protokoll wie der Ereignisanzeige von Windows. Vielmehr soll das Tun der Arbeitnehmer gezielt überwacht und gesteuert, und evt. sogar beurteilt werden.

Der Arbeitgeber wird für ein Ticketsystem vermutlich zumindest folgende Zweckbestimmungen nennen:

  • Die Arbeitsabläufe steuern
  • Die Aufgaben jeweils den geeignetsten Personen zuweisen
  • Eine gleichmäßige Verteilung der Arbeitslast sicherstellen
  • Sicherstellen, dass Aufgaben nicht unerledigt bleiben
  • Eine „Eskalation“ steuern (z. B. weil ein Kunde sich beschwert, dass sein Anliegen immer noch nicht bearbeitet oder gelöst ist)
  • Sicherstellen, dass „SLAs“ (Service Level Agreements, also Vereinbarungen über die Reaktionszeiten und Fristen für die Lösung von Problemen im Service) eingehalten werden
  • Nachweisen können, dass und wie SLAs eingehalten wurden und andere Leistungsnachweise gegenüber Kunden erbringen können
  • Kosten berechnen und ggf. gegenüber Kunden nachweisen
  • Evt. auch Leistungsnachweise für eine betriebliche Leistungsermittlung, bei einem leistungsorientierten Prämiensystem, schaffen

Möglicherweise werden noch weitere Zwecke genannt, z. B. eine Wissensdatenbank zu schaffen, weil die Lösungswege für bestimmte Probleme aus den Tickets hervorgehen etc.

Es gibt also eine ganze Fülle von Zwecken für solch ein Ticketsystem. Ob sie auch jeweils legitim sind, also der Zweck jeweils ein berechtigtes Interesse des Arbeitgebers repräsentiert, muss man im Einzelfall – je nach Einsatz des Systems – prüfen und entscheiden.

Die Frage, die aber in diesem zweiten Schritt zu prüfen ist, lautet: Sind die Daten, die das Ticketsystem verarbeitet, jeweils geeignet, diese Zwecke zu verwirklichen. Da kann man nicht einfach pauschal mit „ja“ antworten, sondern es müsste für jeden Zweck geprüft werden, ob dieses Kriterium erfüllt ist.

3. Schritt: Ist die Arbeitnehmerüberwachung erforderlich, um den Zweck zu verwirklichen?

Hat man festgestellt, dass der bzw. die Zwecke nicht nur legitim sind, sondern dass die Einrichtung auch geeignet ist, sie zu erfüllen, kommt man zur nächsten Frage: Ist es auch erforderlich, zu diesen Zwecken Daten über das Verhalten der Arbeitnehmer zu verarbeiten? Ist der Eingriff in die Persönlichkeitsrechte also notwendig? Die Erforderlichkeit fragt also danach, ob es nicht auch möglich wäre, die Zwecke zu erfüllen, ohne dass dazu Persönlichkeitsrechte der Arbeitnehmer beeinträchtigt werden.

Erforderlich ist die Regelung, wenn kein anderes, gleich wirksames, aber das Persönlichkeitsrecht weniger einschränkendes Mittel zur Verfügung steht.

1 ABR 21/03 vom 26.06.2004

Das BAG verlangt also, dass man nach alternativen Möglichkeiten sucht, die Zwecke jeweils zu verwirklichen, um es möglichst zu vermeiden, in Persönlichkeitsrechte der Arbeitnehmer einzugreifen.

Ob es solche alternativen Möglichkeiten gibt, muss man im Einzelfall prüfen. Denkbar wäre z. B.:

  • Das Verfahren bzw. die Software so abzuändern, dass gar keine Daten über das Verhalten der Arbeitnehmer verarbeitet werden
  • Das Verfahren bzw. die Software so abzuändern, dass die Daten anonymisiert oder pseudonymisiert werden.
  • Das Verfahren bzw. die Software so abzuändern, dass zumindest in einem geringeren Umfang Daten über das Verhalten der Arbeitnehmer verarbeitet werden.
  • Ein anderes Verfahren oder eine andere Software zu verwenden, die ohne die Verarbeitung von Daten über das Verhalten der Arbeitnehmer funktionieren.
  • Ein anderes Verfahren oder eine andere Software zu verwenden, dessen Einsatz Persönlichkeitsrechte in einem geringeren Maß beeinträchtigt.

Das BAG hat in der oben zitierten Entscheidung z. B. festgestellt, dass in diesem Fall anstelle einer Videoüberwachung, die Diebstähle aufdecken sollte, auch Taschenkontrollen am Ausgang möglich wären – auch ein Eingriff in Persönlichkeitsrechte, aber mit geringerer Intensität des Eingriffs.

Gibt es aber tatsächlich keine alternative Möglichkeit, die die Zwecke genauso gut oder zumindest hinreichend gut erfüllt, wäre der Einsatz der technischen Einrichtung tatsächlich erforderlich.

Auch hier gilt: Werden sich die Parteien nicht darüber einig, ob die technische Einrichtung in der Weise, wie sie vom Arbeitgeber eingeführt werden soll, erforderlich ist, entscheidet darüber die Einigungsstelle.

Nehmen wir die Beispiele von oben noch einmal auf:

Elektronisches Schließsystem

Hier stellt sich die Frage gar nicht mehr, weil wir ja bereits festgestellt haben, dass das Schließsystem gar nicht geeignet ist, die vom Arbeitgeber genannten Zwecke zu erfüllen.

Ereignisprotokoll in Windows

Die Policies, mit denen gesteuert wird, welche Ereignisse protokolliert werden, lassen sich zwar anpassen, eine Anonymisierung oder Pseudonymisierung von personenbezogenen Daten ist aber grundsätzlich nicht vorgesehen. Daher wird es schwierig, alternative Möglichkeiten zu finden.

Insbesondere muss man feststellen, dass alle Betriebssysteme in mehr oder minder großem Umfang Ereignisse protokollieren, und dass die Protokollierung ja an sich auch einen sinnvollen Zweck erfüllt.

Deshalb wird man bei der Ereignisprotokollierung von Windows wohl zum Ergebnis kommen, dass sie „alternativlos“, also erforderlich ist.

Allerdings bietet sich an, in einer Betriebsvereinbarung über Windows Regelungen darüber vorzunehmen, ob und wann Protokolldaten gelöscht werden müssen und wer sie ausschließlich für welche Zwecke nutzen darf.

Ticketsystem

Ob die Verarbeitung von Daten über das Verhalten von Arbeitnehmern im Ticketsystem erforderlich ist, hängt von dessen Einsatzzweck ab. Möglicherweise könnte man die Tickets ja, statt sie einzelnen Bearbeitern zuzuweisen, einem Team zuweisen. Und möglicherweise ist es nicht erforderlich, dass dokumentiert wird, wer das Ticket bearbeitet bzw. geschlossen hat.

Andererseits gibt es Szenarios, bei denen es unverzichtbar ist, dass z. B. eine einzelne Person als Bearbeiter bestimmt wird – es besteht sonst die Gefahr, dass sich niemand für das Ticket zuständig fühlt, und es deshalb unbearbeitet bleibt.

Fraglich ist aber, ob es unbedingt erforderlich ist, nach Abschluss des Tickets immer noch Daten über die einzelnen Personen (Auslöser, Erfasser, Bearbeiter etc.) zu verarbeiten. Wenn das Ticket erledigt ist, muss man ja nicht mehr in jedem Fall nachvollziehen können, wer es z. B. erfasst, bearbeitet und gelöst hat. Demnach könnte eine sinnvolle Regelung darin bestehen, entweder das gesamte Ticket eine gewisse Zeit nach der Lösung zu löschen oder zumindest die Personenbezüge in den gelösten Tickets nach einer gewissen Zeit zu anonymisieren oder zu pseudonymisieren.

Erfahrungsgemäß stoßen solche Lösungen aber auf wenig Zustimmung auf Arbeitgeberseite. Erstens macht das Arbeit, muss ja ggf. programmiert oder zumindest konfiguriert werden und zweitens lassen sich dann manche Zwecke, die der Arbeitgeber auch im Sinn hat (z. B. Mängel in der Arbeit von Arbeitnehmern zu bewerten) nicht mehr verwirklichen. Dann stellt sich aber die Frage, ob diese Zwecke denn legitim sind (womit man wieder beim ersten Prüfschritt angekommen ist).

4. Schritt: Kann den Arbeitnehmern die Überwachung zugemutet werden?

Wenn man festgestellt hat, dass die Zwecke legitim sind, dass die Einrichtung geeignet ist, die Zwecke zu verwirklichen und sie auch in dem Sinne erforderlich ist, dass die Zwecke nicht oder jedenfalls nicht annähernd so gut auf andere, weniger beeinträchtigende Weise verwirklicht werden können, kommt der vierte Schritt: Ist der Eingriff in die Persönlichkeitsrechte angesichts der Wichtigkeit der Zwecke zu rechtfertigen?

Angemessen ist die Regelung, wenn sie verhältnismäßig im engeren Sinn erscheint. Es bedarf hier einer Gesamtabwägung zwischen der Intensität des Eingriffs und dem Gewicht der ihn rechtfertigenden Gründe; die Grenze der Zumutbarkeit darf nicht überschritten werden

1 ABR 21/03 vom 26.06.2004

Man muss also abwägen: Wie intensiv ist der Eingriff in die Persönlichkeitsrechte der Arbeitnehmer und wie gewichtig sind die Gründe (also die Zwecke), die diesen Eingriff rechtfertigen? Ist der Eingriff von nur geringer Intensität (z. B. wird nur einmal täglich die Anwesenheit alles Arbeitnehmer erfasst), die Gründe sind aber von erheblicher Bedeutung (z. B. um Meldungen an die Berufsgenossenschaft erstellen zu können), wird er sicher gerechtfertigt sein. Je massiver der Eingriff in Persönlichkeitsrechte aber ist, desto gewichtiger müssen auch die Gründe dafür sein, also die Zwecke, die mit der Einrichtung verwirklicht werden sollen.

Auch hier ein Beispiel:

Die Toilettenanlage eines Betriebs wird regelmäßig durch Vandalismus verunreinigt und beschädigt. Der Arbeitgeber will das unterbinden, und um herauszufinden, wer der oder die Übeltäter sind, will er eine Videoüberwachung auf der Toilette installieren.

Es gibt Zwecke, und die Zwecke sind auch legitim. Vermutlich wäre die Videoüberwachung auch geeignet, den oder die Randalierer entweder davon abzuhalten, das weiter zu tun, weil sie sich ja beobachtet wissen, oder jedenfalls wird sie die Randalierer entdecken, so dass ihr Verhalten geahndet werden kann. Ob sie auch erforderlich ist, kann man getrost bestreiten – man könnte ja Wachpersonal postieren, die Toilette abschließen und den Schlüssel so deponieren, dass der Benutzer registriert wird oder sich andere Methoden ausdenken, wie festgestellt werden kann, wer jeweils als Letzter die Toilette benutzt hat.

Aber angenommen, es gäbe keine andere Möglichkeit. Dann wäre die Videoüberwachung der Toilettenanlage zwar erforderlich, aber dennoch unverhältnismäßig, weil sie einen massiven Eingriff in die Privat-, genau genommen sogar die Intimsphäre der Benutzer darstellt – angesichts der Gründe, die dies rechtfertigen sollen, wäre das sicher nicht zumutbar.

Zusammenfassung

Die Verarbeitung von Daten von Arbeitnehmern, die Aussagen über deren Verhalten oder Leistung ermöglichen, ist immer eine Beeinträchtigung der Persönlichkeitsrechte der Arbeitnehmer. Ob die Daten genutzt werden sollen oder nicht, spielt dabei keine Rolle. Allein der Umstand, dass es diese Daten gibt und sie verarbeitet werden, beeinträchtigt die Persönlichkeitsrechte schon an sich.

Eine Beeinträchtigung von Persönlichkeitsrechten ist nicht kategorisch verboten, sie bedarf aber immer einer Rechtfertigung. Diese Rechtfertigung kann gesetzlich begründet sein, sie kann aber auch durch Interessen des Arbeitgebers entstehen.

Es muss also eine Abwägung erfolgen, bei der auf der einen Seite die Intensität der Beeinträchtigung der Persönlichkeitsrechte, auf der anderen die Gründe, die diesen Eingriff rechtfertigen, einander gegenübergestellt werden. Überwiegen die Gründe, die den Eingriff in die Persönlichkeitsrechte rechtfertigen, ist die Beeinträchtigung zulässig. Wiegen die Gründe nicht schwer genug, ist der Eingriff in die Persönlichkeitsrechte nicht gerechtfertigt und daher nicht zulässig. Je intensiver die Beeinträchtigung der Persönlichkeitsrechte ist, desto höhere Anforderungen werden an die Rechtfertigung gestellt.

Weil nicht damit zu rechnen ist, dass der Arbeitgeber diese Abwägung objektiv durchführt und dabei den Interessen der Arbeitnehmer das gleiche Gewicht beimisst wie seinen eigenen, ist es notwendig, dass eine weitere Instanz gleichberechtigt und als Korrektiv darüber mitentscheidet. Dieses Korrektiv ist der Betriebsrat, der deshalb darüber mitzubestimmen hat.

Bei der Ausübung der Mitbestimmung sollte so verfahren werden, wie das in diesem Artikel beschrieben wird. Dabei ist bei jedem einzelnen Schritt Gegenstand der Mitbestimmung. Gelingt eine Einigung über die Legitimität, Eignung, Erforderlichkeit und Zumutbarkeit nicht, wird die technische Einrichtung nicht eingeführt bzw. nicht angewendet. Ggf. entscheidet in diesem Fall die Einigungsstelle.

Erfahren Sie mehr!

Das passende Seminar zu diesem Thema:

Der wirkungsvolle EDV-Ausschuss – Teil I: Gläserne Arbeitnehmer