Was fällt unter § 87 Abs. 1 Nr. 6 BetrVG?
In jedem Betrieb findet sich eine Fülle von technischen Einrichtungen, die die Tatbestandsmerkmale des § 87 Abs. 1 Nr. 6 BetrVG erfüllen. Daher bedürfen sie der Mitbestimmung durch den Betriebsrat. Das gilt für Systeme für das Büro, die Kommunikation oder der Personalwirtschaft. Aber auch für die Produktion, die Logistik, die Haustechnik oder die allgemeine Steuerung im Betrieb. Einige Beispiele:
Büro und Kommunikation
Hier finden sich die meisten (aber bei Weitem nicht alle) Einrichtungen, die unter § 87 Abs. 1 Nr. 6 BetrVG fallen.
Nur eine Auswahl und Übersicht dessen, was in fast allen Betrieben in der Verwaltung zu finden ist:
- Betriebssysteme der PCs (Windows® 10 oder 11, Linux® oder Apple® MacOS®)
- Betriebssysteme der Server (Windows®, Linux® oder andere)
- Spezielle Dienste auf Servern wie Exchange®, SharePoint®, SMB auf Windows®-Servern oder Samba®, Squid etc. auf Linux®-Servern
- Anwendungssoftware auf den PCs (Word®, Excel®, PowerPoint® etc.)
- Cloud-Dienste wie Microsoft 365® mit SharePoint®, OneDrive®, Exchange® etc., Google® Drive®, Google Workspace® etc.
- Alles, was mit Kommunikation zu tun hat. Also die Telefonanlage, Cloud-Telefonie, ACD-Systeme (das sind spezielle Systeme, die vor allem in Call-Centern zum Einsatz kommen), aber natürlich auch Mobilfunk und selbstverständlich E-Mails
- Ticketsysteme wie Now® (früher ServiceNow®), Jira® ServiceDesk®, Remedy® etc.
- UCC-Systeme (Unified Communication and Collaboration) verschiedenster Art, z. B. Teams® von Microsoft®
- SAP® und andere ERP-Systeme (ERP steht für „Enterprise Ressource Planning“. Also eine Software, mit der die Ressourcen des Unternehmens wie Finanzen, Maschinen, Personal, Material etc. organisiert werden) wie Oracle®, MS Dynamics® 365, Infor LN® etc.
- Drucker-/Kopiersysteme, die Druckaufträge puffern bzw. die Kosten auf Kostenstellen verteilen können
Aber auch einzelne Dateien, die beispielsweise mit Excel® gepflegt werden und Daten über erledigte Aufgaben, Termine etc. enthalten, fallen unter die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG. Der Mitbestimmungstatbestand nennt bewusst „Einrichtungen“ als Gegenstand, nicht „Programme“ oder „Geräte“. Das BAG hat 2018 entschieden (1 ABN 36/18), dass es keine „Geringfügigkeitsschwelle“ bei der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG gibt.
IT-Sicherheit und IT-Administration
Die Sicherheit und Stabilität von IT-Systemen sind natürlich wichtig. Da lässt es sich kaum vermeiden, auch ein gewisses Maß an „Monitoring“ zu betreiben. Deshalb werden in der IT-Sicherheit verschiedene Systeme eingesetzt, die Aktivitäten, die die Integrität und Vertraulichkeit der eigenen Systeme bedrohen, bemerken und ggf. Alarm auslösen sollen:
- SIEM (Security Information and Event Management) führt Daten aus verschiedenen Systemen für die Protokollierung für die IT-Sicherheit und für Ereignisse, die Maßnahmen erfordern, zusammen
- Firewalls sind ein Instrument, mit dem Angriffe vor allem von außen abgewandt werden sollen
- Logfiles verschiedener Einrichtungen dienen dazu, Auffälligkeiten zu bemerken und ihnen begegnen zu können
- Data Loss Prevention („DLP“) analysiert den Datenverkehr und löst bei unerlaubter Übermittlung oder Verarbeitung von Daten Alarm aus, sperrt die Daten und/oder stellt bestimmte Informationen in Quarantäne
Diverse Möglichkeiten der Überwachung
In diesem Zusammenhang sei auch Microsoft 365® erwähnt. Mit den Werkzeugen aus „Security and Compliance“ wird eine Fülle von Möglichkeiten der Überwachung angeboten. Beispielsweise für DLP, die automatische Archivierung von E-Mails oder Dateien. Und nicht zuletzt werden sämtliche Aktivitäten aller Benutzer protokolliert, und die Protokolldaten bleiben 90 Tage lang verfügbar.
Es gibt inzwischen hoch entwickelte Systeme, die Verfahren der Künstlichen Intelligenz nutzen. Sie können ungewöhnliches Verhalten von Geräten und Benutzern erkennen und daraus Erkenntnisse über mögliche Bedrohungen ableiten. Diese Systeme (z. B. Darktrace®) arbeiten hocheffizient und finden treffsicher auch solche Bedrohungen, die herkömmlichen SIEM-Systemen oder Virenscannern verborgen bleiben. Aber dafür müssen Sie eben auch Verhalten beobachten, also kontrollieren. Dass diese Kontrolle maschinell erfolgt und nicht in Form der Beobachtung durch Menschen, macht aus rechtlicher Sicht keinen Unterschied.
Personalwirtschaft
Systeme der Personalwirtschaft müssen dokumentieren, welche personenbezogenen Daten eingegeben, verändert oder gelöscht wurden. Auch eine Protokollierung, die nachvollziehbar macht, wer diese Änderungen vorgenommen hat, kann zu den notwendigen technische Maßnahmen zum Schutz der Integrität und Vertraulichkeit der Daten gehören. Daher sind Systeme wie
- SAP® HCM®,
- SAP SuccessFactors®,
- Oracle® Cloud HCM®,
- Workday®,
- die Personalwirtschaft der DATEV®,
- P&I Loga®,
- Paisy® etc.
technische Einrichtungen, die den Zweck erfüllen, das Verhalten oder die Leistung von Arbeitnehmern überwachen zu können. Sie fallen daher unter die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG.
Wie bereits erläutert: Überwachung muss nicht immer „böse“ sein. Manchmal dient sie auch einem guten Zweck, wie z. B. der Sicherstellung des Datenschutzes. Das ändert aber nichts daran, dass der Betriebsrat darüber mitzubestimmen hat, wie dies gehandhabt wird.
Nicht alles fällt unter die Mitbestimmung
Die Daten selbst, die in Personalwirtschaftssystemen verarbeitet werden, unterliegen aber nicht unbedingt der Mitbestimmung. Die Steuerklasse, die kirchensteuerrelevante Religionszugehörigkeit oder andere Daten werden für die korrekte Entgeltabrechnung benötigt. Sie ssagen aber nichts über das Verhalten von Arbeitnehmern aus und fallen daher nicht unter die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG. Das gilt genauso für Angaben über die Qualifikation oder Tätigkeit – z. B. Fremdsprachenkenntnisse, vorhandene Qualifikationen und Zertifikate oder dergleichen. In diesem Zusammenhang mögen andere Mitbestimmungstatbestände relevant sein (in Frage kommt z. B. § 94 BetrVG), aber um eine Verhaltenskontrolle handelt es sich nicht.
Bemerkenswert ist in diesem Zusammenhang eine Entscheidung des BAG (1 ABR 32/16 vom 19.12.2017). Es hat (heftig diskutiert, aber dogmatisch ganz richtig) festgestellt, dass der Umstand, dass ein Arbeitnehmer auf einer sog. „Anti-Terror-Liste“ der EU steht (richtiger: „Sanktionsliste“), keinen Bezug zu seinem Verhalten auf der Arbeit hat. Daher ist ein Abgleich des Arbeitgebers von Daten seiner Arbeitnehmer mit diesen Listen auch keine Anwendung einer technischen Einrichtung, die der Kontrolle des Verhaltens dient. Deshalb fällt dieser Vorgang nicht unter die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG. Dass dieser Abgleich datenschutzrechtlich zumindest fragwürdig ist, weil es kaum eine Grundlage für die Rechtmäßigkeit geben dürfte, ist eine andere Frage. Die wird aber nicht im Rahmen der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG geklärt.
Nicht jede Dokumentation ist eine Verhaltenskontrolle
Auch die Daten, die in einer digitalen Personalakte verarbeitet werden, unterliegen nicht unbedingt der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG. Das System als solches wird vermutlich Daten über die Benutzung protokollieren und daher Gegenstand der Mitbestimmung sein. Die Dokumente, die im System verarbeitet werden, sind aber normalerweise keine Instrumente der Verhaltenskontrolle. Selbst wenn ein Arbeitnehmer wegen eines Fehlverhaltens abgemahnt und die Abmahnung als PDF-Dokument digital abgelegt wird, ist das PDF-Dokument selbst nicht Instrument der Verhaltenskontrolle. Das Verhalten wurde ja auf andere Art festgestellt und die Abmahnung ist nur die Reaktion des Arbeitgebers auf dieses anderweitig überwachte Verhalten. Aber die Dokumentation dieser Reaktion in einem elektronischen System ist mithin keine technische Einrichtung zur Kontrolle des Verhaltens.
Der Betriebsrat sollte sich also sehr genau überlegen, ob er bei jedem System „mit einem Stecker dran“ Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG für sich reklamieren kann. Manche technischen Systeme fallen dann doch nicht unter die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG.
Aus Sicht des Arbeitgebers ist eine Betriebsvereinbarung über solche Systeme ratsam, weil er damit für sich eine solide Rechtsgrundlage im Sinne des § 26 Abs. 4 BDSG schafft und damit weniger Probleme mit der Datenschutzaufsicht riskiert. Ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG besteht aber nicht unbedingt bei jeder technischen Einrichtung und über jeden Aspekt der Verarbeitung personenbezogener Daten der Arbeitnehmer.
Produktion und Materialwirtschaft
Nicht nur die Aspekte „Personalwirtschaft“ in ERP-Systemen, sondern sämtliche Bestandteile von ERP-Systemen enthalten Funktionen, mit denen das Verhalten von Anwendern oder anderen protokolliert wird. Üblicherweise werden z. B. alle Vorgänge, Prozessschritte bzw. Transaktionen, die der Anwender mit der Software vornimmt, protokolliert. Dies kann verschiedenen Zwecken dienen und durchaus sinnvoll sein, ist aber natürlich auch die Anwendung einer technischen Einrichtung, die geeignet ist, das Verhalten der Benutzer, also der Arbeitnehmer zu überwachen.
Daneben werden solche Systeme auch genutzt, um die Produktivität des Betriebs zu ermitteln. Daher werden meistens Daten über Maschinenlaufzeiten, die Dauer bestimmter Verarbeitungsvorgänge etc. in solchen Systemen verarbeitet. Die Erfassung von Arbeitsstunden und deren Buchung auf bestimmte Projekte, Kostenstellen oder Aufträge z. B. fällt in diese Kategorie der Verarbeitung personenbezogener Daten, mit denen eine Überwachung des Verhaltens oder der Leistung der Arbeitnehmer möglich ist. Demnach ist sie mitbestimmungspflichtig gem. § 87 Abs. 1 Nr. 6 BetrVG.
Einige Beispiele für solche Arten technischer Einrichtungen sind:
- Produktionsplanungs- und ‑steuerungssysteme innerhalb von ERP-Software wie SAP®
- Software für die Steuerung von Maschinen
Maschinen für die Produktion, Verpackung etc. sind natürlich auch vernetzt und in die IT-Landschaft integriert. Sie erzeugen in aller Regel auch Daten über ihren Betrieb, etwa Laufzeiten, den Ausstoß von Produkten etc. In den meisten Fällen können diese Daten den jeweiligen den Arbeitnehmern zugeordnet werden. Daher handelt es sich auch bei solchen technischen Anlagen um Einrichtungen i. S. d. § 87 Abs. 1 Nr. 6 BetrVG.
Logistik
Warenwirtschaftssysteme verarbeiten Daten über Materialien und Produkte. Aber auch Daten darüber, wer sie in welcher Weise bestellt, eingelagert, entnommen oder verbraucht oder Retouren verarbeitet hat.
Lagerwirtschaftssysteme verarbeiten Daten über die Handhabung eingelagerter Produkte und sind eng mit dem jeweils verwendeten Warenwirtschaftssystem vernetzt. Auch hier entstehen Daten über die Einlagerung, Entnahme etc.
Versandsysteme erzeugen Daten über die Versandvorbereitung und den Versand von Produkten – in der Regel wieder ergänzt um Informationen über die Arbeitnehmer, die bestimmte Arbeiten verrichtet und Aufträge abgearbeitet haben.
Tracking-Systeme, mit denen einzelne Vorgänge, wie z. B. einzelne Lieferungen verfolgt werden können, verarbeiten natürlich ebenso Daten über das Tun der Arbeitnehmer. Beispielsweise die Verpackung, den Versand, den Transport, die Auslieferung etc.
Beispiel: Tachographen
Fahrtenschreiber, richtiger: „Tachographen“, sind für bestimmte Fahrzeuge gesetzlich vorgeschrieben. Sofern ihre Nutzung ausschließlich gem. der gesetzlichen Bestimmungen erfolgt, greift der Eingangssatz des § 87 Abs. 1 BetrVG. Dieser besagt, dass der Betriebsrat nicht mitzubestimmen hat, wenn es bereits eine gesetzliche Regelung gibt.
Wenn die Daten über das Fahrverhalten z. B. eines LKW-Fahrers aber erst mal vorliegen, entstehen natürlich neue Begehrlichkeiten – es wäre ja durchaus nützlich, z. B. solche Fahrer zu identifizieren, die besonders schonend und sparsam fahren und sie von solchen zu unterscheiden, die einen eher „sportlichen“ Fahrstil an den Tag legen. Das ist aber nicht mehr von den gesetzlichen Bestimmungen zu Tachographen abgedeckt und löst das Mitbestimmungsrecht des Betriebsrats aus. Darüber hinaus sind in einem modernen LKW Hunderte weitere Sensoren verbaut, die sehr weitgehende Kontrollmöglichkeiten über den Fahrer und sein Tun eröffnen – hier gibt es viel mitzubestimmen.
Sicherheit und Facility Management
Natürlich sind technische Einrichtungen, die die Sicherheit auf dem Betriebsgelände sicherstellen sollen, kaum ohne Überwachung zu betreiben – sie dienen ja in der Regel genau diesem Zweck.
Videoüberwachung
Videoüberwachung und andere Maßnahmen für diesen Zweck müssen sich aber stets am Maßstab der Verhältnismäßigkeit messen lassen. Wenn es möglich ist, Sicherheit zu gewährleisten, ohne in Persönlichkeitsrechte der Arbeitnehmer einzugreifen, ist die jeweilige Maßnahme unverhältnismäßig. Der Betriebsrat sollte daher sehr kritisch hinterfragen und eng regulieren, ob es z. B. erforderlich ist, die vom Arbeitgeber gewünschte Vielzahl von Kameras zu verwenden. Oder ob es notwendig ist, die Kameras rund um die Uhr zu betreiben, Aufzeichnungen zu erstellen und lange zu speichern und einem weiten Kreis von Personen den Zugriff auf die Aufzeichnungen zu ermöglichen.
Oft ist es möglich, auf eine Videoüberwachung ganz zu verzichten oder sie zumindest so erheblich einzuschränken, dass sie auf ein für die Arbeitnehmer zumutbares Mindestmaß reduziert wird.
Weitere Überwachungen
Neben der Videoüberwachung werden aber auch andere Instrumente eingesetzt, die das Verhalten von Arbeitnehmern überwachen können. Elektronische Schließsysteme z. B. sind an sich nützlich – ob sie aber auch protokollieren müssen, wer wann welche Tür geöffnet hat, ist zumindest fraglich. Biometrische Zugangskontrollen können Zutritts- bzw. Schließsysteme ersetzen. Die Identifikation mit Fingerabdrücken (im der DSGVO wird das als „Daktyloskopie“ genannt) oder Irisscan, Gesichtserkennung oder der Erkennung des Musters von Blutgefäßen etc. ist oft sicherer als Kennwörter, Pins oder Tokens. Vorausgesetzt, sie sind gut und sauber programmiert und können nicht einfach ausgetrickst werden. Aber auch sie sind natürlich technische Einrichtungen im Sinne des § 87 Abs. 1 Nr. 6 BetrVG. Außerdem stellt die DSGVO in Art. 9 besondere Anforderungen an die Nutzung dieser Instrumente.
Moderne Gebäude sind mit einer Fülle haustechnischer Einrichtungen ausgestattet, die sowohl der Sicherheit als auch der Energieeffizienz dienen. Bewegungsmelder, die Fahrstuhlsteuerung, Infrarotsensoren zur Ermittlung von Wärmequellen, um die Heizungs- und Klimatechnik zu steuern etc. fallen darunter.
Auch hier hat der Betriebsrat gem. § 87 Abs. 1 Nr. 6 BetrVG mitzubestimmen.
Softwareentwicklung und Projektmanagement
Zur Unterstützung der Planung und Durchführung von Projekten aller Art gibt es verschiedene Werkzeuge, z. B. MS Project®, SAP® PS®, Jira®, Asana® und andere, die ganz verschiedene Ansätze verfolgen und auf unterschiedlichen Technologien basieren – teils cloudbasiert, teils on premises, teils als installierbare Apps, teils als Web-Anwendungen.
Allen ist aber gemein, dass mit ihnen Teilprojekte, Arbeitspakte und/oder Aufgaben definiert und Personen zur Erledigung zugewiesen werden. Die Erledigung wird auf verschiedene Weise verfolgt. Sie wird teilweise mit weiteren Informationen wie z. B. der Erfassung von Tätigkeitszeiten und anderen Kosten angereichert. So wird der Projektfortschritt aktualisiert. All dies ist aber auch nichts anderes als Verhaltens- bzw. Leistungskontrolle und fällt unter § 87 Abs. 1 Nr. 6 BetrVG.
Was fällt nicht unter die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG?
Natürlich gibt es auch technische Einrichtungen, also Hard- oder Software, die nicht Gegenstand der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG sind. Danach muss man allerdings suchen. Nicht mitbestimmungspflichtig ist eine Einrichtung dann, wenn sie keinerlei Informationen über das Tun, also das Verhalten von Arbeitnehmern verarbeitet und dies auch gar nicht vorgesehen, z. B. technisch nicht möglich ist.
Wenn es zwar möglich ist, das Verhalten von Arbeitnehmern wahrnehmbar zu machen, aber der Arbeitgeber auf diese Möglichkeit verzichten möchte, fällt die Einrichtung dennoch unter die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG. Nur, wenn die Einrichtung die Möglichkeit der Wahrnehmung des Tuns von Arbeitnehmern auf technischem Wege ausschließt, fällt sie nicht unter § 87 Abs. 1 Nr. 6 BetrVG. Ich habe z. B. einmal eine elektronische Türschließanlage begutachtet, bei der grundsätzlich ein Modul „Protokollierung der Türöffnungen“ verfügbar ist. Dieses Modul war aber nicht beschafft und demnach auch nicht installiert. In diesem Fall konnte man guten Gewissens davon ausgehen, dass eine Möglichkeit der Verhaltens- oder Leistungskontrolle nicht bestand und es daher auch keinen Anlass gab, mitzubestimmen.
Wenn lediglich personenbezogene Daten verarbeitet werden, die aber keine Aussagen über ein Tun von Arbeitnehmern ermöglichen, handelt es sich ebenfalls nicht um die Anwendung einer technischen Einrichtung im Sinne des § 87 Abs. 1 Nr. 6 BetrVG. Das ist z. B. beim bereits weiter oben beschriebenen Abgleich von Arbeitnehmerdaten mit den Sanktionslisten der EU auf der Grundlage der EU-Verordnungen 2580/2001, 881/2002 und 753/2011 („Anti-Terror-Verordnungen“) der Fall.
Fazit
In jedem Betrieb gibt es eine überwältigende Vielzahl von technischen Einrichtungen, die der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG unterliegen. Das beginnt mit einzelnen Excel-Tabellen, mit denen Anwesenheiten oder Tätigkeiten dokumentiert werden. Es erstreckt sich über gängige Systeme wie Office 365, SAP, die Zeiterfassung, die Telefonie und andere Kommunikationssysteme bis zur Videoüberwachung, Haustechnik und Betriebstechnik.
In unserem relativ kleinen Betrieb z. B. haben wir auf Anhieb ca. 70 verschiedene mitbestimmungspflichtige technische Einrichtungen identifiziert. Dabei bin ich als Geschäftsführer nichtmal besonders kontrollwütig. Wir benutzen einfach nur das, was eben so üblich ist: Windows®, Office®, Linux®– und Windows®-Server, SQL-Datenbanken, Internet-Zugänge, Internet-Server, eine Telefonanlage etc.
Manchmal muss man Prioritäten setzen
In der Praxis wird es nicht gelingen, über jede einzelne Einrichtung umfassende Regelungen in Form von Betriebsvereinbarungen zu treffen. Das scheitert nicht nur an der schieren Menge, sondern wird auch dadurch erschwert, dass die unterschiedlichen Einrichtungen miteinander vernetzt sind und untereinander kommunizieren. So kann man oft nicht einmal den genauen Gegenstand der Mitbestimmung eindeutig identifizieren und benennen. Bei einem Kunden – einem großen Softwarekonzern – hat der Betriebsrat, nachdem wir dort eine Inhouse-Schulung zu diesem Thema durchgeführt haben, mehrere Zehntausend unterschiedliche technische Einrichtungen identifiziert. Alle haben die Tatbestandsmerkmale des § 87 Abs. 1 Nr. 6 BetrVG erfüllt. Wie will man aber 10.000 und mehr Betriebsvereinbarungen abschließen, um die jeweilige technische Einrichtung mitzubestimmen und umfassend zu regeln? Das wird nicht gelingen, denn dafür reichen ja auch mehrere Amtszeiten nicht aus.
Deshalb wird man nicht umhinkönnen,
- Prioritäten zu setzen, um diejenigen Einrichtungen zu identifizieren, die besonders dringend einer Regelung bedürfen und
- sich Gedanken darüber zu machen, allgemeingültige Regelungen über den Umgang mit technischen Einrichtungen schlechthin – also eine sog. Rahmenbetriebsvereinbarung – zu vereinbaren.
Die Fragen, welche Regelungen wie sinnvoll sind und ob und wie man mit einer Rahmenbetriebsvereinbarung umgehen kann, werden in separaten Artikeln behandelt.
Unsere Seminare
Neben unserer umfangreichen Beratungs-Seite, bieten wir natürlich auch Seminare für Betriebs- und Personalräte an. Auch zu vielen anderen Themen und als Inhouse-Seminar.
Hier finden Sie passende Seminare zum Thema Arbeitnehmerüberwachung:
Der wirkungsvolle IT-Ausschuss: Gläserne Arbeitnehmer
Aufgaben bei der Arbeitnehmerüberwachung
Arbeitnehmerüberwachung ist eins der wichtigsten Themen der Mitbestimmung. Hier erfahren Sie, wie der IT-Ausschuss und Betriebsrat Risiken für Arbeitnehmer erkennen, was der Betriebsrat regeln muss, einen Überblick über die DSGVO und mehr.