Ansätze für Regelungen über IT-Systeme
Man kann Regelungen über technische Einrichtungen, die gem. § 87 Abs. 1 Nr. 6 BetrVG mitbestimmungspflichtig sind, auf verschiedene Arten vornehmen.
- Der Betriebsrat könnte die Anwendung stillschweigend dulden,
- Arbeitgeber und Betriebsrat könnten eine Regelungsabrede abschließen oder
- Arbeitgeber und Betriebsrat schließen eine Betriebsvereinbarung ab.
Den Sonderfall einer sog. „Rahmenbetriebsvereinbarung“ über IT-Systeme werde ich später gesondert behandeln.
Eine Betriebsvereinbarung ist die erste Wahl
In jedem Fall empfiehlt es sich, eine Betriebsvereinbarung abzuschließen. Das ist nicht nur im Interesse des Betriebsrats, sondern auch für den Arbeitgeber sinnvoll. Nur eine Betriebsvereinbarung gilt unmittelbar und zwingend, und nur eine Betriebsvereinbarung wirkt nach. Setzt ein Arbeitgeber bei der Nutzung einer technischen Einrichtung darauf, dass der Betriebsrat schon stillhalten wird, läuft er Gefahr, dass der Betriebsrat es sich irgendwann einmal anders überlegt. Der Betriebsrat kann in diesem Fall jederzeit verlangen, dass doch eine Betriebsvereinbarung abgeschlossen wird.
Wie in § 87 Abs. 1 Nr. 6 BetrVG steht, hat der Betriebsrat über die Anwendung einer solchen technischen Einrichtung mitzubestimmen. Bei Fehlen einer Betriebsvereinbarung, könnte er verlangen, dass in jedem Fall der Anwendung seine Zustimmung beantragt wird. Also z. B. bei jedem Telefonanruf, bei jeder Benutzung der Zeiterfassung und bei jeder Anmeldung und Verwendung von SAP. Damit könnte ein Betriebsrat den Betrieb massiv stören. Davon kann ein Arbeitgeber sich nur schützen, indem er eine Betriebsvereinbarung mit dem Betriebsrat abschließt, in der die Anwendung der jeweiligen Einrichtung abschließend geregelt wird.
Der Betriebsrat kann Einrichtungen abschalten lassen
Eine Betriebsvereinbarung schützt also nicht zuletzt die Investition in die IT. Es wäre unverantwortlich, auf diesen Schutz zu verzichten und das Risiko einzugehen, dass der Betriebsrat die Nutzung der Einrichtung stört. Der Betriebsrat könnte grundsätzlich sogar eine Unterlassung dieser Einrichtung beim Arbeitsgericht beantragen. Zumindest solange er sein Mitbestimmungsrecht nicht ausüben konnte. In dem Fall wird die Einrichtung bis zum Abschluss der Betriebsvereinbarung außer Betrieb gesetzt. Der Arbeitgeber wird sie vermutlich in vielen Fällen weiter betreiben – einfach, weil er keine Wahl hat. Der Betriebsrat hätte dann aber die Möglichkeit, ein Ordnungsgeld verhängen zu lassen. Für jede Woche, die die Einrichtung weiter ungeregelt in Betrieb ist, könnten beispielweise bis zu 10.000 EUR fällig werden. Auch keine schöne Vorstellung für Arbeitgeber.
Das Argument, dass ein Betriebsrat doch den Betrieb nicht in solch einer rabiaten Weise stören oder gar behindern dürfe, ist nicht überzeugend: Es obliegt ja dem Arbeitgeber, dafür zu sorgen, dass der Betriebsrat bereits in der Phase der Planung miteinbezogen wird und mitbestimmen kann (§ 90 Abs. 1 BetrVG). Er soll mit dem Betriebsrat klären, ob es Probleme gibt und wie man zu einer gemeinsamen Lösung kommt (§ 90 Abs. 2 BetrVG). Vor allem hat er dafür zu sorgen, dass der Betriebsrat mitbestimmt (§ 87 Abs. 1 BetrVG). Stattdessen darauf zu hoffen, dass der Betriebsrat kooperativ sein wird, ist nicht nur leichtsinnig. Es zwingt den Betriebsrat in eine Rolle, die er nicht hat und auch nicht haben soll: Die des Erfüllungsgehilfen statt eines Korrektivs. Auch ein Arbeitgeber kann ja initiativ werden und vorschlagen, eine Betriebsvereinbarung abzuschließen, in der alle relevanten Fragen abschließend (das heißt übrigens meistens nicht „schlank“) geregelt werden.
Vorteile für alle Beteiligten
Am Ende ist es für alle Beteiligten vorteilhaft, in einer Betriebsvereinbarung klar und transparent zu regeln, wie mit den Möglichkeiten einer technischen Einrichtung umgegangen wird.
- Für den Arbeitgeber, der die Einrichtung sicher nutzen will.
- Die Benutzer, weil sie wissen, was geht und was nicht, und mit welchen Formen der Überwachung sie ggf. rechnen müssen.
- Die IT, weil sie weiß, nach welchen Regeln sie die Einrichtung zu betreiben haben.
- Natürlich auch für den Betriebsrat, weil er sich darauf verlassen, kann, dass die Einrichtung nach den von ihm mitgestalteten Regeln genutzt wird.
Technische und normative Regelungen
Für Betriebsvereinbarungen kann man grob zwei Ansätze unterscheiden:
- Technische Regelungen oder
- normative Regelungen.
Den Satz „Verhaltens- oder Leistungskontrollen erfolgen nicht“ habe ich hier schon erwähnt: Inhalt der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG. Er ist meistens falsch, weil technische Einrichtungen in vielen Fällen Daten über das Verhalten erzeugen, die sich auch nicht „wegkonfigurieren“ lassen. Somit erfolgt eben doch eine Verhaltenskontrolle, und es ist die Aufgabe der Betriebsvereinbarung, zu bestimmen, wie damit umgegangen wird. In der Regel ist mit diesem Satz aber etwas anderes gemeint, nämlich: „Daten, die für eine Verhaltens- oder Leistungskontrolle geeignet sind, werden nicht dafür genutzt, das Verhalten oder die Leistung von Arbeitnehmern zu beobachten, zu beurteilen, zu messen, zu vergleichen oder auf andere Weise zu kontrollieren.“ Wenn das gemeint ist, sollte man es so auch in eine Betriebsvereinbarung schreiben.
Technische Regelungen
Technische Regelungen versuchen, Anweisungen zur Konfiguration der technischen Einrichtung zu treffen, um dafür zu sorgen, dass nur die jeweiligen Zwecke verwirklicht werden. Das ist dann möglich, wenn
- die Zwecke eng begrenzt und klar definiert sind,
- der Umfang der verarbeiteten Daten relativ gering ist und
- die Einrichtung sich auch in dieser Weise konfigurieren lässt.
Beispiele
Bei einem Schließsystem z. B. gibt es grundsätzlich keinen Grund, zu protokollieren, wer wann welche Tür geöffnet hat. Ein gutes System kann man so konfigurieren, dass auf das Protokoll der Türöffnungen verzichtet wird. Sollte es dennoch besonders schützenswerte Bereiche geben (z. B. die Tür zum Raum mit dem Drogenschrank in einer Krankenhausstation), müsste man für diese Schließzylinder eine Protokollierung einzeln aktivieren.
Unser Internet-Router lässt sich so konfigurieren, dass nur die externen Adressen protokolliert werden, aber im Protokoll nicht auftaucht, von welchen internen Adressen diese aufgerufen wurden. Ich brauche diese Information auch nicht. Davon abgesehen, dass ich meinen KollegInnen vertraue, kann ich unerwünschte Web-Adressen auch in die Blacklist aufnehmen.
Bei einer Zeiterfassung kann man ebenfalls sehr genau bestimmen, welche „Zeitereignisse“ in welcher Weise erfasst und wie verarbeitet werden. Ebenso kann man die zulässigen Reports konfigurieren und regeln, wer in welcher Weise und für welche Zwecke auf welche Daten zugreifen kann.
Technische Regelungen umfassen also – ausgehend von der Bestimmung der Zwecke – folgendes:
- Eine abschließende Auflistung der Daten, mit denen das Tun von Arbeitnehmern verarbeitet wird.
- Bestimmungen über die Zugriffsberechtigungen für diese Daten.
- Bestimmungen darüber, ob und in welcher Weise (welche Dashboards, Reports, Listen etc.) mit diesen Daten erzeugt werden können.
- Regelungen darüber, wann die Daten zu löschen oder zu anonymisieren sind.
Das Problem bei vielen IT-Systemen und anderen technischen Einrichtungen ist, dass so eine detaillierte Konfiguration nicht möglich ist. Außerdem ist in vielen Fällen der Umfang der Daten über das Verhalten oder die Leistung sehr groß. Daher ist es schwierig, den genauen Umfang zweckgebunden zu bestimmen und im System zu definieren. Deshalb wird man in den meisten Fällen zumindest ergänzend sog. „normative“ Regelungen finden müssen.
Normative Regelungen
Wenn eine technische Regelung nicht gelingt, oder nicht alle Fragen abschließend geklärt werden können, wird man Normen aufstellen müssen. Bei der Verwendung der technischen Einrichtung wird dann nach diesen Normen verfahren.
Office 365 ist ein Beispiel dafür: Bei Office 365 ist es schlicht nicht möglich, bestimmte Instrumente, die zur Verhaltenskontrolle geeignet sind, durch Konfigurationseinstellungen zu verhindern – die Technik gibt das nicht her. Außerdem umfasst das Produkt sehr viele Funktionen und wird mit hohem Tempo stetig weiterentwickelt. Daher fällt es schwer, sämtliche Einstellungen, die verhindern sollen, dass eine Möglichkeit der Verhaltenskontrolle entsteht, in einer Betriebsvereinbarung abschließend zu regeln. Über Office 365 habe ich hier Was sollte man bei Office 365 mitbestimmen? einiges geschrieben.
Wenn es nicht anders geht
Andere Fälle, bei denen man nicht anders als „normativ“ regeln kann, sind:
- Die Einrichtung wird von jemand anderem betrieben, auf den der Arbeitgeber nicht den nötigen Einfluss hat. Beispiel: Der Arbeitgeber ist Mieter eines Gebäudes, dessen Betreiber im Eingangsbereich und Treppenhaus eine Videoüberwachung installiert hat. Der Arbeitgeber kann den Vermieter nicht zwingen, die Videoanlage zu deinstallieren oder anders zu konfigurieren. Besonders, wenn es noch andere Mieter gibt.
- Eine technische Einrichtung kann nicht so konfiguriert werden, wie es nötig wäre. Das ist zwar alles andere als optimal, aber wenn das System ansonsten gut ist, ist eine „normative“ Regelung immer noch die zweitbeste Variante.
- Die technische Einrichtung wird gemeinsam mit anderen Betrieben genutzt, die bestimmte Funktionen benötigen, und die deshalb nicht „wegkonfiguriert“ werden können. Hier ist ggf. zu klären, ob der Gesamtbetriebsrat oder Konzernbetriebsrat zuständig ist. Aber für den einzelnen Betrieb können ggf. auch vom Gesamt- oder Konzernbetriebsrat „normative“ Regelungen aufgestellt werden.
- Die technische Einrichtung ist so komplex, dass genaue Konfigurationsanweisungen Seiten füllen würden. In dem Fall besteht die Gefahr, dass man etwas übersieht, oder dass sich am Ende niemand die Mühe macht, das auch umzusetzen oder auch an geänderte technische Parameter anzupassen. Dann ist eine „normative“ Regelung einfacher.
Betriebsrat bei der Planung einbeziehen
Noch ein Hinweis zu „es ist technisch nicht möglich, die Einrichtung so zu konfigurieren, wie das nötig wäre“: Zuerst eine Software zu kaufen, erst danach den Betriebsrat zu informieren und dann zu sagen „das können wir mit der Software leider nicht machen“ ist genau das, was der Gesetzgeber mit § 90 BetrVG verhindern wollte. Im Datenschutz gilt der Grundsatz „die Technik folgt dem Recht“, und auf der Einhaltung dieses Grundsatzes sollte man auch bei der Mitbestimmung bestehen. Das BVerfG hat in einer kurzen Entscheidung (1 BvR 99/11 vom 13.06.2015) einmal festgestellt:
Die Anforderungen an die technische Datenverarbeitung haben insoweit den Anforderungen des Grundrechts auf informationelle Selbstbestimmung zu genügen und nicht umgekehrt.
BVerfG 1 BvR 99/11
Nicht zuletzt gibt es deshalb den § 90 BetrVG: Der Betriebsrat soll bereits in der Planungsphase informiert werden. Das heißt vor dem Kauf einer technischen Anlage (wie z. B. einer Software) und der Bestimmung von Arbeitsverfahren oder Arbeitsabläufen (wie z. B. Prozessen, die mit der Software gesteuert und abgebildet werden sollen). Vor allem soll die geplante Maßnahme so rechtzeitig mit ihm beraten werden, dass Vorschläge und Bedenken des Betriebsrats schon bei der Planung berücksichtigt werden können.
Inhalt normativer Regelungen
Im Falle einer „normativen“ Regelung sollten die Normen darin bestehen, dass man zwar nicht regelt, wie eine Einrichtung konfiguriert und betrieben wird. Dafür aber bestimmt, wie sie verwendet werden darf. Es muss also bestimmt werden:
- Welche Zwecke ausschließlich zulässig sind – und diese Zwecke müssen sehr konkret definiert werden.
- Wie diese Zwecke verwirklicht werden (z. B. durch welche Benutzer).
- Nach welchen Regeln Daten ausgewertet werden dürfen (Eine genaue Definition zulässiger Auswertungen zu regeln ist nicht möglich. Aber es kann zumindest bestimmt werden, wie sichergestellt wird, dass Auswertungen nur gemäß der Zweckbestimmungen erfolgen).
- Welche Konsequenzen aus der Nutzung der Verhaltens- und Leistungskontrolle entstehen dürfen (und demnach keine anderen).
Bei normativen Regelungen ist besonders wichtig, klarzustellen, dass die Nutzung der Möglichkeiten der Verhaltens- oder Leistungskontrolle, die gegen die Normen der Betriebsvereinbarung verstößt, unzulässig ist. Auch Maßnahmen, die daraus resultieren, sind unwirksam. Wenn die Daten über das Verhalten vorhanden sind, wird sich immer auch jemand finden, der sie sich anschaut – auch, wenn das „eigentlich“ gar nicht erlaubt ist. Und wenn er meint, etwas gefunden zu haben, was auf „schlechte Leistung“ oder einen anderen Mangel hinweist, wird er auch versuchen, daraus Maßnahmen abzuleiten.
Daher gehören in eine Betriebsvereinbarung, die die Anwendung technischer Einrichtungen nicht technisch, sondern normativ regelt, in jedem Fall die folgenden Absätze:
Verhaltens- oder Leistungskontrollen mit den hier mitbestimmten technischen Einrichtungen, die nicht auf der Grundlage dieser Betriebsvereinbarung zugelassen sind, sind unzulässig und dürfen nicht erfolgen.
Maßnahmen, die auf unzulässig durchgeführten Verhaltens- oder Leistungskontrollen beruhen oder aus ihnen resultieren, sind unwirksam und müssen zurückgenommen werden.
Der Nachweis der Rechtmäßigkeit der Datenverarbeitung mit den hier mitbestimmten technischen Einrichtungen ist vom Arbeitgeber zu erbringen.
Technische und normative Regelungen
In der Praxis wird man beide Ansätze miteinander vermischen: Dort, wo es geht und sinnvoll ist, wird man technische Regelungen treffen (z. B. hinsichtlich der Benutzerrollen oder der Schnittstellen, über die Daten mit anderen Systemen ausgetauscht werden). Wo man etwas nicht abschließend technisch regeln kann oder will (z. B. hinsichtlich des Umfangs der Verarbeitung von Daten über das Verhalten oder die Leistung, oder bei der Bestimmung der Auswertungen) wird man Normen setzen.
Wichtig ist, dass man sich nicht leichtfertig ausschließlich auf normative Regelungen einlässt, wenn technische Regelungen auch möglich wären. Es ist besser, genau zu definieren, was mit dem jeweiligen System gemacht werden kann, statt zu definieren, was gemacht werden darf (aber dabei zuzulassen, dass mehr gemacht werden kann) und darauf zu hoffen, dass sich auch jeder daran hält.
Durchsetzung technischer Regelungen
Technische Regelungen sind meistens schwerer durchzusetzen. Für den Arbeitgeber ist es ein großer Aufwand, ein IT-System so zu konfigurieren, wie es in der Betriebsvereinbarung geregelt ist. Dagegen ist viel einfacher, das System einfach so zu lassen, wie es ist. Der Arbeitgeber würde sich nur auf mehr oder minder streng formulierte Regeln einlassen, dass er mit den vorhandenen Daten nur bestimmte Dinge tun darf. Deshalb ist bei technischen Regelungen mit größerem Widerstand seitens des Arbeitgebers zu rechnen.
Hier helfen die datenschutzrechtlichen Grundsätze „Privacy by Design“ und „Die Technik folgt dem Recht“. „Privacy by Design“ bedeutet, dass das Design eines datenverarbeitenden Systems, also seine Programmierung und Konfiguration, schon selbst den Datenschutz gewährleisten muss. Dieses Maß darf nicht erst durch nachträglich hinzugefügte Regeln über seine Benutzung entstehen. Und „Die Technik folgt dem Recht“ (s. oben auch die Entscheidung des BVerfG 1 BvR 99/11) bedeutet, dass die Technik so eingerichtet und betrieben werden muss, dass sie den Anforderungen des Datenschutzes genügt.
Aufsichtsbehörde für Datenschutz
Bei solchen Diskussionen kann man sich an die jeweils zuständige Aufsichtsbehörde für den Datenschutz wenden und sie um eine Einschätzung bitten. Derzeit sind die Aufsichtsbehörden zwar nicht besonders reaktionsschnell, aber wenn sie (manchmal nach Monaten) antworten, wird man in der Regel eine Bestätigung dieser Forderungen erhalten.
Normative Regelungen akzeptieren meistens die „normative Kraft des Faktischen“. Mitbestimmung bedeutet aber nicht, die technischen Rahmenbedingungen, die von außen diktiert und nicht durch Gesetze legitimiert sind, einfach hinzunehmen und sich auf Regelungen innerhalb dieses Rahmens zu beschränken. Mitbestimmung bedeutet, selbst die Bedingungen und Regeln zu gestalten.
Ich ertappe mich gelegentlich selbst dabei, bei Diskussionen mit Arbeitgebern in Richtung „dann regeln wir es eben normativ“ kippen zu wollen. Das ist der Weg des geringeren Widerstands, und deshalb fällt es leichter, solche Regeln zu vereinbaren. Man sollte es sich (und den Arbeitgebern) aber nicht zu leicht machen. Wenn es möglich ist, eine Regelung „technisch“ vorzunehmen, dann sollte man auch auf technische Regelungen bestehen. Nötigenfalls geht man den Weg in die Einigungsstelle.
Die Gegenstände der Mitbestimmung
In einer Betriebsvereinbarung über eine technische Einrichtung gem. § 87 Abs. 1 Nr. 6 BetrVG sollte in jedem Fall genau bestimmt werden, um welche Einrichtung es sich handelt. Und es sollte zumindest grob beschrieben werden, welche Funktionen sie umfasst.
DSGVO und BetrVG
Die ist DSGVO „technikneutral“. Sie betrachtet den Verarbeitungsvorgang als solchen und lässt offen, welches technische Mittel dafür verwendet wird (es muss nur sichergestellt sein, dass geeignete technische und organisatorische Maßnahmen für die Sicherstellung des Datenschutzes durchgeführt werden). Dagegen setzt § 87 Abs. 1 Nr. 6 BetrVG bei der technischen Einrichtung an, also einem (oder mehreren) konkreten Gegenständen. Sie müssen nicht „stofflich“ sein – auch Software kann eine technische Einrichtung sein – aber eine „Sache“. Dafür ist es allerdings auch erforderlich, dass das oder die Objekte in der Betriebsvereinbarung benannt werden. Sonst wird künftig immer wieder Streit darüber entstehen, ob eine bestimmte Sache (z. B. „Crystal Reports“ als Reporting-Werkzeug für eine ganz andere Software, die SQL-Datenbank, auf die eine Software zugreift etc.) unter die Betriebsvereinbarung fällt und „mitgeregelt“ ist. Ober ob es eine eigenständige Einrichtung ist, für die ggf. eine separate Regelung getroffen werden muss.
Aus Sicht des Datenschutzes ist diese Frage egal. Aber aus Sicht der Mitbestimmung muss man bestimmen, welche Einrichtungen Gegenstand der Betriebsvereinbarung sind. Man regelt ja auch andere Geltungsbereiche – z. B. den persönlichen und den örtlichen. Dann sollte es außer Frage stehen, dass erst recht der sachliche Geltungsbereich sauber bestimmt werden muss.
Beispiel: Anwesenheitsliste in Excel
Um ein Beispiel zu nennen: Man erstellt mit Excel eine Datei über Anwesenheitszeiten und speichert sie auf einem SharePoint-Server. Was genau ist jetzt Gegenstand der Mitbestimmung? Excel, weil das Programm „Metadaten“ über die Benutzung erstellt? Die einzelne Datei, weil in ihr Daten über das Verhalten verarbeitet werden? Oder SharePoint, weil damit unterschiedliche Versionen dieser Daten bereitgestellt und die Zugriffe verwaltet und ggf. auch protokolliert werden? Oder alles drei? Bestimmt man nicht, was unter die Betriebsvereinbarung fällt, besteht für den Arbeitgeber immer ein Risiko. Denn wenn der Betriebsrat feststellt, dass eine bestimmte Einrichtung mit der Betriebsvereinbarung nicht geregelt ist, kann er hinsichtlich dieser Einrichtung einen Unterlassungsanspruch geltend machen. Damit wäre aber im Grunde niemandem gedient (außer dem Betriebsrat, wenn er es darauf anlegt, Krawall zu machen).
Änderungen/Erweiterungen an einem IT-System
In vielen Betriebsvereinbarungen über IT-Systeme steht irgendwo sinngemäß, dass der Betriebsrat über Änderungen, Erweiterungen etc. an einem IT-System informiert werden muss. In dem Zusammenhang wird dann meistens auch bestimmt, dass Funktionserweiterungen erst nach Vereinbarung mit dem Betriebsrat umgesetzt werden dürfen. Die Fragen, die sich aus solch einer Regelung aber ergeben, sind:
- Über Änderungen, Erweiterungen etc. welches IT-Systems muss denn der Betriebsrat aufgrund der Betriebsvereinbarung informiert werden? Die von Excel, von SharePoint oder der Excel-Tabelle? Oder die aller drei IT-Systeme?
- Welche Funktionen leistet das IT-System bisher, so dass man Erweiterungen des Funktionsumfangs überhaupt identifizieren kann?
Im Grunde ist hier der datenschutzrechtliche Ansatz moderner und klüger: Es ist egal, welches Tool verwendet wird. Entscheidend ist der Verarbeitungsvorgang, der bestimmte Zwecke verwirklichen soll. Weil aber das BetrVG nicht ganz so modern ist und der hier diskutierte Mitbestimmungstatbestand aus dem Jahr 1972 stammt, muss man sich halt die Mühe machen, die Gegenstände jeweils genau zu bestimmen.
Unsere Seminare
Neben unserer umfangreichen Beratungs-Seite, bieten wir natürlich auch Seminare für Betriebs- und Personalräte an. Auch zu vielen anderen Themen und als Inhouse-Seminar.
Hier finden Sie passende Seminare zum Thema Arbeitnehmerüberwachung:
Der wirkungsvolle IT-Ausschuss Teil I: Gläserne Arbeitnehmer
Aufgaben bei der Arbeitnehmerüberwachung
Der wirkungsvolle IT-Ausschuss Teil II
Umsetzung der Mitbestimmungsrechte
Arbeitnehmerüberwachung ist eins der wichtigsten Themen der Mitbestimmung. Hier erfahren Sie, wie der IT-Ausschuss und Betriebsrat Risiken für Arbeitnehmer erkennen, was der Betriebsrat regeln muss, einen Überblick über die DSGVO und mehr.