Vorgehen bei der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG

Wie schon bei den grundsätzlichen Erklärungen zum Mitbestimmungstatbestand „Arbeitnehmerüberwachung“ erwähnt: Es ist nicht das vorrangige Ziel dieses Mitbestimmungsrechts, jede Form der Verhaltens- oder Leistungskontrolle kategorisch zu verhindern. Es gibt durchaus Fälle, in denen dieses Instrument sinnvoll angewandt werden kann.

„Überwachung“ klingt nach Stasi, NSA und „Big Brother“. Deshalb ist die erste Reaktion natürlich, dass man dagegen sein muss. Betrachtet man den Mitbestimmungstatbestand und die in der Praxis eingesetzten Systeme aber genauer, stellt man fest: Was der Gesetzgeber mit diesem Mitbestimmungsthema meint, muss gar nicht immer negativ sein.

Worum geht es bei Arbeitnehmerüberwachung?

Noch einmal zur Erinnerung: Jede technische Einrichtung, die ein Tun (oder Unterlassen) eines Arbeitnehmers wahrnehmbar macht, fällt unter dieses Mitbestimmungsrecht.

Beispiele:
Wenn jemand z. B. in einem Word-Dokument einen Kommentar hinterlässt, fällt das unter das Thema „Arbeitnehmerüberwachung“. Im Kommentar stehen nämlich sein Name und der Zeitpunkt der Kommentierung. Soll das wirklich verhindert werden? Wenn ich eine Frage zu dem Kommentar habe, wäre es hilfreich, wenn ich wüsste, an wen ich mich wenden soll.

In der Materialwirtschaft eines ERP-Systems wie SAP wird festgestellt, dass ein bestimmtes Material fehlt. Dann sieht man aber, dass es bereits vor zwei Wochen nachbestellt wurde. Jetzt kann es nützlich sein, den Besteller zu fragen, warum das Material noch nicht geliefert wurde. Dazu muss man aber wissen, wer der Besteller ist. Das bedeutet aber, dass der Name des Bestellers mit in der Bestellung angezeigt wird. Und schon wird wieder eine Einrichtung zur Verhaltenskontrolle benutzt.

Wir verwenden im Büro eine Excel-Tabelle, für die Verwaltung der Aufgaben der MitarbeiterInnen – wenn man so will ein „Ticketsystem für Arme“. Wenn jemand krank ist, können die anderen Kolleginnen in die Liste schauen und die anstehenden Aufgaben erledigen. Solch eine To-Do-Liste ist praktisch, um die Zusammenarbeit zu verbessern und sicherzustellen, dass keine wichtige Aufgabe vergessen wird. Aber natürlich kann so auch das Verhalten (oder sogar die Leistung) von Arbeitnehmern überwacht werden.

Unvermeidbar: Technische Einrichtungen generieren Nutzerdaten

Allein in unserem kleinen Büro mit sechs KollegInnen finden sich auf Anhieb ca. 70 verschiedene Einrichtungen, die allesamt unter den Mitbestimmungstatbestand des § 87 Abs. 1 Nr. 6 BetrVG fallen. Dabei bin ich nicht einmal besonders kontrollwütig – es sind einfach die üblichen technischen Systeme die man im Büro braucht: Windows, Linux, Datenbankserver, Office 365, Exchange, SharePoint, ein paar Excel-Tabellen, Reservierungssoftware für unsere Seminare, elektronisches Türschloss, Telefonie, Fax etc.

Es ist also nicht einfach mit diesem Mitbestimmungsrecht. Man kann in eine Betriebsvereinbarung zwar einen Satz im Sinne von „Es finden keine Verhaltens- oder Leistungskontrollen statt“ schreiben. Dann müsste man aber auf praktisch alles, was einen Stecker hat, verzichten. Abgesehen vielleicht vom Kühlschrank und der Kaffeemaschine (die allerdings bei uns im Büro auch die unverzichtbarsten Einrichtungen sind).

Differenzierte Betrachtung

Deshalb muss man das Instrument „Verhaltenskontrolle“ etwas differenzierter und ohne Vorbehalte betrachten. Es gibt ohne Zweifel eine Fülle von Einrichtungen, bei denen man einer Verhaltenskontrolle skeptisch gegenüberstehen sollte. Aber es gibt auch durchaus nützliche Anwendungen, die ihren Nutzen erst dadurch erfahren, dass sie das Tun von Arbeitnehmern in irgendeiner Weise transparent machen.

Dem Wunsch, Verhaltenskontrollen konsequent zu verhindern, liegt allerdings oft ein Missverständnis zugrunde: Die objektive Eignung wird mit dem Zweck verwechselt. Dass eine technische Einrichtung Informationen über ein Tun verarbeitet, ist allein schon eine Verhaltenskontrolle. Ob sie dann auch dafür genutzt wird, das Verhalten zu beobachten, zu überwachen, zu beurteilen etc., ist eine Frage des Zwecks, zu dem man diese Einrichtung nutzt. Und an der Stelle sollte dann auch die Mitbestimmung ansetzen.

Wenn die Einrichtung nicht für Kontrollzwecke genutzt werden soll

Manchmal sagt ein Arbeitgeber: „Ja, die Einrichtung sammelt Daten, aber die schauen wir uns nie an“. Das bedeutet nicht, dass die Einrichtung ohne Vorbehalt akzeptabel ist. Eine einfache Lösung wäre in diesem Fall eine Betriebsvereinbarung, in der sinngemäß steht:

Die technische Einrichtung protokolliert aus technischen Gründen Daten über das Tun der Arbeitnehmer. Der Arbeitgeber sichert zu, dass diese Daten niemals und unter keinen Umständen von ihm oder anderen Stellen genutzt werden.

Fraglich ist aber, ob die Protokollierug der Daten wirklich erforderlich ist. Zumindest müsste man prüfen, ob…

  • …es nicht möglich ist, die Protokollierung auszuschalten,
  • …und in welchen Abständen die protokollierten Daten gelöscht werden und
  • …es nicht eine andere, gleich gut geeignete Einrichtung gibt, die aber auf die Protokollierung von Daten über das Tun der Arbeitnehmer verzichtet.

Prüfung der Verhältnismäßigkeit

Wie bereits erwähnt: Jede Kontrolle des Verhaltens ist immer ein Eingriff in Persönlichkeitsrechte. Dieser Eingriff ist nur zulässig, wenn er gerechtfertigt ist. Diese Rechtfertigung muss gewissen Ansprüchen genügen, die im Wege der Mitbestimmung geprüft werden müssen.

Vierstufige Prüfung

Dafür hat die Rechtsprechung vier Kriterien entwickelt. Mit diesen wird geprüft, ob die Nutzung einer technischen Einrichtung für Zwecke der Überwachung akzeptabel ist oder nicht. In ihr werden vier Aspekte beurteilt:

  • Legitimität der Zwecke der Überwachung
  • Eignung der Einrichtung für die Erfüllung der Zwecke
  • Erforderlichkeit der Einrichtung
  • Zumutbarkeit für die Arbeitnehmer

Voraussetzung: Zweckbestimmung

Ausgang der Prüfung ist die Festlegung von Zwecken. Der Arbeitgeber betreibt eine technische Einrichtung, um damit einen bestimmten Zweck zu erfüllen. Das gilt auch im Hinblick auf die Möglichkeiten der Arbeitnehmerüberwachung.

Die Frage ist also: Welchem Zweck soll denn die Möglichkeit einer Überwachung dienen? Gibt es überhaupt einen Zweck? Wenn es keinen Zweck gibt, dann ist die Überwachung ein sinnloser Eingriff in Persönlichkeitsrechte und nicht gerechtfertigt.

Die Bestimmung der Zwecke obliegt dem Arbeitgeber und ist noch nicht Gegenstand der Mitbestimmung. Er entscheidet, ob er ein bestimmtes Bedürfnis hat, das er mit der technischen Einrichtung erfüllen möchte. Daher hat der Betriebsrat über die Festlegung der Zwecke nicht mitzubestimmen. Der Arbeitgeber muss ihm aber darlegen, wie die Zwecke lauten und begründen, warum diese wichtig sind. Nur so kann der Betriebsrat beurteilen, ob er die Legitimität der Zwecke und die Eignung, Erforderlichkeit und Zumutbarkeit der Überwachung jeweils mittragen kann.

Sonderfall: Die Überwachung der Arbeitnehmer soll gar keinen Zweck erfüllen

Gibt es keinen Zweck für die Überwachung der Arbeitnehmer, wird es schwierig. Solche Fälle kommen immer wieder vor. Manchmal erfüllt eine Einrichtung zwar hinsichtlich ihrer Funktionen sinnvolle Zwecke, erstellt dabei aber auch Daten über das Verhalten von Arbeitnehmern. Das ist quasi unvermeidlicher „Beifang“.

In diesem Fall müsste man prüfen, ob die technische Einrichtung einen nützlichen Zweck erfüllt und man die Überwachung deaktivieren kann. Vielleicht kann man die Einrichtung so konfigurieren, dass gar keine Daten über das Verhalten erzeugt werden. Beispielsweise indem man eine ggf. vorhandene Protokollfunktion deaktiviert. Oder man sucht nach Wegen, die Daten zu pseudonymisieren. Also den Personenbezug durch Pseudonyme zu ersetzen, die sich nicht auf eine bestimmte Person zurückführen lassen.

Ist dies nicht möglich, müsste man klären: Muss es denn genau diese Einrichtung sein, oder gibt es eine Alternative, die auf die Möglichkeit der Verhaltenskontrolle verzichtet.

Wenn auch das scheitert, wäre es konsequent, ganz auf den Einsatz der Einrichtung zu verzichten. Das ist allerdings manchmal nicht möglich, weil sie unbedingt benötigt wird. In dem Fall wäre die – wenn auch schlechteste – Lösung, dass man sich in einer Betriebsvereinbarung verständigt. Nämlich dass die Einrichtung zwar Informationen über das Verhalten der Arbeitnehmer erzeugt, diese aber keinesfalls für irgendeinen Zweck verwendet werden dürfen. Ggf. müsste man sich dann über einen Zugriffsschutz und Löschregeln für die Daten solch einer Einrichtung verständigen.

Regelfall: Vierstufige Prüfung

Gibt es aber einen oder mehrere Zwecke für die Verwendung der Daten über das Verhalten der Benutzer, müssen diese Zwecke so konkret wie möglich und abschließend aufgezählt und formuliert werden.

Bei der Kenntlichmachung von Autoren und Kommentatoren in Word-Dokumenten wäre der Zweck also z. B. „Unterstützung der Anwender bei der Erstellung und Bearbeitung von Dokumenten, insbesondere bei der gemeinsamen Bearbeitung“. Unsere To-Do-Tabelle im Büro hat den Zweck „sicherzustellen, dass die benötigen Unterlagen und Materialien für alle Seminare rechtzeitig, vollständig und richtig bereitgestellt und versandt werden“. Nicht immer ist es so einfach, konkrete Zwecke zu benennen, weil es oft einen ganzen Katalog von Zwecken gibt. Aber man sollte sich bemühen, diesen Katalog so genau wie möglich zusammenzustellen. Im Übrigen ist das vor allem die Aufgabe des Arbeitgebers – er will die Einrichtung ja einführen.

Natürlich gibt es auch Zwecke, die wirklich auf die Überwachung selbst abzielen. Beispielsweise „Aufdeckung und Aufklärung von Diebstählen, Beschädigungen und anderen Straftaten durch Ermittlung der Täter und des Tathergangs“. Wenn das der Zweck sein soll, dann sollte man auch ehrlich genug sein, ihn konkret zu benennen. Das heißt noch nicht, dass der Betriebsrat dem auch zustimmt.

1. Schritt: Ist der Zweck legitim?

Wenn ein Zweck bestimmt wurde, stellt sich die Frage: Ist dieser Zweck legitim? Repräsentiert er also ein berechtigtes, billigenswertes Interesse des Arbeitgebers?

Diese Frage ist natürlich eine Ermessensentscheidung. Es gibt keine Tabelle oder Liste von berechtigten Interessen. Genau aus diesem Grund hat der Betriebsrat ja mitzubestimmen: Er übt dieses Ermessen gemeinsam mit dem Arbeitgeber aus – das ist Mitbestimmung.

Wenn der Zweck auf einer gesetzlichen Pflicht des Arbeitgebers beruht, wird es leichter fallen, die Berechtigung des Interesses zu erkennen. Ggf. greift dann aber ohnehin der Eingangssatz des § 87 Abs. 1 BetrVG – der Betriebsrat hat ja nur dort mitzubestimmen, wo keine (abschließende) gesetzliche Norm die Angelegenheit regelt.

Angenommen der Arbeitgeber verfolgt mit den Zwecken Interessen, die gegen die der Arbeitnehmer gerichtet sind. Dann wird der Betriebsrat sich voraussichtlich schwer damit tun, der Legitimität dieser Zwecke zuzustimmen. Kann der Betriebsrat der Berechtigung der Zwecke zustimmen, ist dieser Schritt erledigt.

Können sich Arbeitgeber und Betriebsrat nicht über die Frage einigen, ob die Zwecke legitim sind, entscheidet darüber die Einigungsstelle.

2. Schritt: Ist die Einrichtung geeignet, den Zweck zu verwirklichen?

Hat man sich darauf geeinigt, dass der bzw. die beabsichtigten Zweck(e) legitim sind, muss geklärt werden, ob das Instrument für die Verwirklichung der Zwecke überhaupt geeignet ist. Das BAG formuliert es so:

Geeignet ist die Regelung dann, wenn mit ihrer Hilfe der erstrebte Erfolg gefördert werden kann.

1 ABR 21/03 vom 26.06.2004

Das ist vor allem eine technische bzw. praktische Frage. Diese unterliegt durchaus wieder einem Ermessen, das im Wege der Mitbestimmung durch die Betriebsparteien ausgeübt wird. Die Parteien müssen also entscheiden, ob sie die Einrichtung für geeignet halten, die jeweiligen Zwecke zu erfüllen.

Können sich Arbeitgeber und Betriebsrat nicht einigen, entscheidet darüber die Einigungsstelle.

Nehmen wir einige Beispiele zur Verdeutlichung:

Elektronisches Schließsystem

Der Arbeitgeber plant, eine elektronische Türschließanlage zu installieren. Die Schließzylinder identifizieren den Benutzer z. B. durch Magnetkarten oder RFID-Transponder, um dann zu entscheiden, ob er die Tür öffnen darf oder nicht. Soweit fällt diese Einrichtung noch nicht unter die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG. Es fehlt noch an der eigentlichen Überwachung, also am „wahrnehmbar Machen des Tuns“ der Arbeitnehmer. Dieses Merkmal wird dann erfüllt, wenn die Einrichtung protokolliert, wer wann – ob mit oder ohne Erfolg – versucht hat, eine Tür zu öffnen. Gibt es auch nur die Möglichkeit eines solchen Protokolls, sind alle Mitbestimmungstatbestände des § 87 Abs. 1 Nr. 6 BetrVG erfüllt. Der Betriebsrat hat dann mitzubestimmen.

Der Arbeitgeber sagt nun, er brauche diese Daten zu zwei Zwecken:

  • Er will die Möglichkeit haben, Diebstähle aufzuklären – dazu muss er wissen, wer sich wann wo aufgehalten habe.
  • Er will „saldieren“ wie viele Personen sich jeweils in welchen Bereich aufhalten, damit er im Falle einer Evakuierung (z. B. bei einem Brand) weiß, wie viele Personen sich in welchem Sammelbereich einfinden müssen.

Die Voraussetzung ist also erfüllt – es gibt Zwecke für die Verarbeitung dieser Daten.

1. Schritt

Ob die Zwecke auch legitim sind, muss man im ersten Schritt prüfen und einvernehmlich entscheiden. Vermutlich wird man zum Ergebnis kommen, dass der Arbeitgeber ein billigenswertes Interesse daran hat, dass diese Zwecke verwirklicht werden.

2. Schritt

Im zweiten Schritt geht es um die Frage der Protokollierung. Trägt sie maßgeblich zur Erfüllung der Zwecke bei?

Sofern es keine Vereinzelungsanlage gibt, können beliebig viele Personen die Tür durchqueren. Das Protokoll verrät nicht, wer die Tür durchquert hat, sondern lediglich, wer sie geöffnet hat.
Außerdem kann man den Bereich in der Regel verlassen, ohne dass die Tür durch die Karte freigeben werden muss. Das ist schon aus Gründen der Sicherheit (z. B. bei einem Feueralarm) notwendig. Das Verlassen des Bereichs nicht also protokolliert. Demnach weiß man aus den Daten der Einrichtung nicht, wer sich wann wo aufgehalten hat.

Ergebnis

Man wird voraussichtlich zu dem Ergebnis kommen, dass die Zwecke (also Diebstähle aufklären und Anzahl der Anwesenden in den unterschiedlichen Bereichen ermitteln) mithilfe der Protokollierung nicht verwirklicht werden können.

Wenn eine Einrichtung, die in Persönlichkeitsrechte von Arbeitnehmern eingreift, für die beabsichtigten Zwecke nicht geeignet ist, ist der Eingriff nicht gerechtfertigt. Ein nicht gerechtfertigter Eingriff in Persönlichkeitsrechte ist unverhältnismäßig. Deshalb sollte der Betriebsrat bei der Ausübung seiner Mitbestimmungsrechte zum Ergebnis kommen, diesem Eingriff nicht zuzustimmen. Er sollte eine solche Protokollierung ablehnen.

Übrigens hat auch der Arbeitgeber gar keinen Nutzen von dieser Art der Überwachung: Er treibt einen technischen und nicht zuletzt finanziellen Aufwand, der ihm aber im Falle eines Falles nicht dabei hilft, das zu erreichen, was er beabsichtigt.

Anders würde es sich verhalten, wenn es einen Raum gibt, der eines besonderen Schutzes bedarf (z. B. der Raum mit dem Drogenschrank in einer Krankenhausstation). Lässt man nur eine sehr begrenzte Zahl von Personen in diesen Raum, kann ein bestimmtes Schloss/Schließzylinder sinnvoll sein. In diesem Fall würde die Information, wer dden Raum wann betreten hat, sicher helfen können, um Unregelmäßigkeiten aufzuklären.

Ereignisprotokoll in Windows

Windows protokolliert verschiedene Ereignisse. Ereignis kann jede Art von Vorgang sein, z. B. das Anmelden bei Windows, die Installation eines Programms, die Änderung der Uhrzeit oder die Bearbeitung einer Datei. Aber auch technische Probleme wie die Störung eines Dienstes oder einer Komponente etc. Welche Ereignisse jeweils protokolliert werden, kann z. B. über „Policies“, die meistens in der gesamten Windows-Domäne einheitlich eingerichtet sind, gesteuert werden.

Zum Ereignis selbst werden weitere Details erfasst, die oft auch die Bezeichnung des Benutzers enthalten, der zum Zeitpunkt des Ereignisses angemeldet war. Es handelt sich also um eine technische Einrichtung, die – ob in der Hauptsache oder als „Beifang“ – Informationen über das Tun von Arbeitnehmern bereitstellt. Ob dies auch der Zweck der Einrichtung ist, spielt dabei keine Rolle. Für die Auslösung der Mitbestimmung genügt der Umstand, dass Daten über das Verhalten von Arbeitnehmern erzeugt und verarbeitet werden.

Prüfung der Zwecke

Voraussetzung für den Einsatz ist, dass diese Verarbeitung überhaupt einem bestimmten Zwecken dient. Vermutlich wird der Arbeitgeber (bzw. der Administrator, der das System eingerichtet hat),
zumindest folgende Zwecke nennen:

  • Technische Probleme und Störungen werden im Ereignisprotokoll erfasst; bei der Suche nach Fehlern und deren Ursachen sind die Informationen aus dem Ereignisprotokoll sehr hilfreich. Darum soll das Protokoll den Zweck erfüllen, die Beseitigung technischer Probleme zu unterstützen.
  • Gefährdungen der Sicherheit (z. B. Versuche, von außen in das Netz des Unternehmens einzudringen, Schadsoftware zu installieren, Zugriffsrechte zu nutzen, die der Account nicht hat etc.), werden ebenfalls im Protokoll erfasst. Das Protokoll soll also auch den Zweck erfüllen, kritische Ereignisse im Zusammenhang mit der Sicherheit und Integrität der IT-Systeme zu entdecken und deren Ursachen zu beseitigen.
  • Möglicherweise gibt es gesetzliche Gründe (z. B. aus der DSGVO oder aus speziellen Vorschriften über die Sicherheit, etwa das Luftsicherheitsgesetz), die es erforderlich machen, den Nachweis über den korrekten Betrieb eines IT-Systems erbringen zu können. Das Protokoll soll den Zweck erfüllen, Daten zu liefern, die diesen Nachweis ermöglichen.

Die Voraussetzung, dass es überhaupt bekannte und möglichst eindeutig formulierte Zwecke für die Arbeitnehmerüberwachung gibt, ist damit erfüllt.

Die erste Frage ist, ob diese Zwecke auch legitim sind. Liegen berechtigte Interessen des Arbeitgebers vor, die den Zweck rechtfertigen? Das ist Ermessenssache, aber meiner Meinung nach sind die Zwecke legitim.

Im zweiten Schritt muss entschieden werden: „Ist die Verarbeitung der Daten über das Verhalten der Arbeitnehmer geeignet, die Zwecke zu erfüllen“. Aus eigener Erfahrung (ich bin selbst Admin unserer verschiedenen Systeme bei der JES) kann ich berichten: Das Ereignisprotokoll ist sehr hilfreich, wenn es darum geht, Fehler zu identifizieren und zu beseitigen. Ohne dieses Protokoll sucht man unter Umständen stundenlang nach möglichen Ursachen von Fehlfunktionen oder Aussetzern. Deshalb kann ich als Admin nur sagen: Das Ereignisprotokoll ist geeignet, den Zweck „Unterstützung bei der Fehlersuche“ zu erfüllen.

Hinsichtlich der anderen Zwecke („Sicherheit“, „Einhaltung gesetzlicher Bestimmungen“) muss man im jeweiligen Betrieb prüfen, ob das Ereignisprotokoll diese Zwecke erfüllen kann.

Ticketsystem

Ein Ticketsystem („ITS“ für „Issue-Tracking-System“, „RTS“ für „Request-Tracking-System“ etc.) wie ServiceNow, Remedy, HP OpenView, Jira und andere dient dazu, Ereignisse bzw. Vorgänge („Issues“) zu erfassen, zu kategorisieren, zu priorisieren. Sie können auch bestimmten Stellen (Teams oder einzelnen Personen) zur weiteren Bearbeitung bis hin zur Erledigung zugewiesen werden. Solche Ereignisse können z. B. Anfragen oder Meldungen von internen oder externen Kunden, Fehler- oder Störungsmeldungen oder auch Arbeitsaufgaben sein. Jeder Bearbeitungsschritt wird als Datensatz im Ticket abgelegt und mit unterschiedlichen Informationen angereichert, bis der Vorgang schließlich erledigt, das „Ticket gelöst“ ist. Das kann im IT-Support sinnvoll sein, aber auch zur Bearbeitung von Kundenanfragen im Vertrieb, in der Personalverwaltung oder für die Fehlerbearbeitung und Entwicklung von Funktionen der Softwareentwicklung.

Dabei werden Daten über verschiedene Personen verarbeitet:

  • Der „Auslöser“ des Tickets ist die Person, die das Problem, die Frage oder allgemein ein Anliegen hat.
  • Der Erfasser ist die Person, die das Ticket im System erfasst hat. Der Erfasser kann mit dem Auslöser identisch sein (weil er das Anliegen selbst z. B. in einem Web-Portal erfasst hat), muss es aber nicht (z. B. weil in einem Call-Center/Helpdesk das Ticket im „First-Level-Support“ angelegt wurde).
  • Bearbeiter ist jede Person, die das Ticket in seinem Verlauf verändert, z. B. Informationen hinzufügt, Lösungsversuche für das Ticket unternimmt etc.
  • Löser ist die Person, die das Ticket final bearbeitet hat und es als „gelöst“ kennzeichnet (auch wenn das Problem vielleicht weiter besteht, aber dafür keine Lösung gefunden werden konnte).

Jeder Bearbeitungsvorgang wird einer bestimmten Person zugeordnet und mit einem Zeitstempel versehen. Wenn die bearbeitende Person ein Arbeitnehmer ist, handelt es sich bei solch einem Ticketsystem ohne Zweifel um eine technische Einrichtung im Sinne des § 87 Abs. 1 Nr. 6 BetrVG.

Es wird ein Tun von Arbeitnehmern erfasst und verarbeitet und damit wahrnehmbar gemacht. In diesem Fall ist das auch kein „zufälliges Nebenprodukt“, wie bei einem nur technisch geführten Protokoll wie der Ereignisanzeige von Windows. Vielmehr soll das Tun der Arbeitnehmer gezielt überwacht und gesteuert, und evt. sogar beurteilt werden.

Zweckbestimmung Ticketsystem

Der Arbeitgeber wird für ein Ticketsystem vermutlich folgende Zweckbestimmungen nennen:

  • Die Arbeitsabläufe steuern
  • Die Aufgaben jeweils den geeignetsten Personen zuweisen
  • Eine gleichmäßige Verteilung der Arbeitslast sicherstellen
  • Sicherstellen, dass Aufgaben nicht unerledigt bleiben
  • Eine „Eskalation“ steuern (z. B. weil ein Kunde sich beschwert, dass sein Anliegen immer noch nicht bearbeitet oder gelöst ist)
  • Sicherstellen, dass „SLAs“ (Service Level Agreements, also Vereinbarungen über die Reaktionszeiten und Fristen für die Lösung von Problemen im Service) eingehalten werden
  • Nachweisen können, dass und wie SLAs eingehalten wurden und andere Leistungsnachweise gegenüber Kunden erbringen können
  • Kosten berechnen und ggf. gegenüber Kunden nachweisen
  • Evt. auch Leistungsnachweise für eine betriebliche Leistungsermittlung, bei einem leistungsorientierten Prämiensystem, schaffen

Möglicherweise werden noch weitere Zwecke genannt. Z. B. eine Wissensdatenbank zu schaffen, weil die Lösungswege für bestimmte Probleme aus den Tickets hervorgehen etc.

Es gibt also eine ganze Fülle von Zwecken für solch ein Ticketsystem. Ob sie auch jeweils legitim sind, also der Zweck jeweils ein berechtigtes Interesse des Arbeitgebers repräsentiert, muss man im Einzelfall – je nach Einsatz des Systems – prüfen und entscheiden.

Im zweiten Schritt muss geprüft werden: Sind die Daten, die das Ticketsystem verarbeitet, jeweils geeignet, diese Zwecke zu verwirklichen? Da kann man nicht einfach pauschal mit „ja“ antworten. Sondern es muss für jeden Zweck geprüft werden, ob dieses Kriterium erfüllt ist.

3. Schritt: Ist die Arbeitnehmerüberwachung erforderlich, um den Zweck zu verwirklichen?

Hat man festgestellt, dass der Zwecke legitim und die Einrichtung dafür geeignet ist, kommt man zur nächsten Frage: Ist es erforderlich, zu diesen Zwecken Daten über das Verhalten der Arbeitnehmer zu verarbeiten? Ist der Eingriff in die Persönlichkeitsrechte notwendig? Die Erforderlichkeit fragt also danach, ob es nicht auch möglich wäre, die Zwecke zu erfüllen, ohne dass Persönlichkeitsrechte der Arbeitnehmer beeinträchtigt werden.

Erforderlich ist die Regelung, wenn kein anderes, gleich wirksames, aber das Persönlichkeitsrecht weniger einschränkendes Mittel zur Verfügung steht.

1 ABR 21/03 vom 26.06.2004

Das BAG verlangt also, dass man nach alternativen Möglichkeiten sucht, die Zwecke zu verwirklichen, ohne in Persönlichkeitsrechte der Arbeitnehmer einzugreifen.

Ob es solche alternativen Möglichkeiten gibt, muss man im Einzelfall prüfen. Denkbar wäre z. B.:

  • Das Verfahren bzw. die Software so abzuändern, dass gar keine Daten über das Verhalten der Arbeitnehmer verarbeitet werden
  • Das Verfahren bzw. die Software so abzuändern, dass die Daten anonymisiert oder pseudonymisiert werden.
  • Das Verfahren bzw. die Software so abzuändern, dass zumindest in einem geringeren Umfang Daten über das Verhalten der Arbeitnehmer verarbeitet werden.
  • Ein anderes Verfahren oder eine andere Software zu verwenden, die ohne die Verarbeitung von Daten über das Verhalten der Arbeitnehmer funktioniert.
  • Ein anderes Verfahren oder eine andere Software zu verwenden, dessen Einsatz Persönlichkeitsrechte in einem geringeren Maß beeinträchtigt.

Das BAG hat in der oben zitierten Entscheidung z. B. festgestellt, dass in diesem Fall anstelle einer Videoüberwachung, die Diebstähle aufdecken sollte, auch Taschenkontrollen am Ausgang möglich wären. Dies ist auch ein Eingriff in Persönlichkeitsrechte, aber mit geringerer Intensität des Eingriffs.

Gibt es aber tatsächlich keine alternative Möglichkeit, wäre der Einsatz der technischen Einrichtung tatsächlich erforderlich.

Auch hier gilt: Werden sich die Parteien nicht darüber einig, ob die technische Einrichtung in der Weise, wie sie vom Arbeitgeber eingeführt werden soll, erforderlich ist, entscheidet darüber die Einigungsstelle.

Nehmen wir die Beispiele von oben noch einmal auf:

Elektronisches Schließsystem

Hier stellt sich die Frage gar nicht mehr. Wir haben ja bereits festgestellt, dass das Schließsystem gar nicht geeignet ist, die vom Arbeitgeber genannten Zwecke zu erfüllen.

Ereignisprotokoll in Windows

Die Policies, mit denen gesteuert wird, welche Ereignisse protokolliert werden, lassen sich zwar anpassen. Eine Anonymisierung oder Pseudonymisierung von personenbezogenen Daten ist aber grundsätzlich nicht vorgesehen. Daher wird es schwierig, alternative Möglichkeiten zu finden.

Insbesondere muss man feststellen, dass alle Betriebssysteme in mehr oder minder großem Umfang Ereignisse protokollieren. Und die Protokollierung erfüllt an sich auch einen sinnvollen Zweck.

Deshalb wird man bei der Ereignisprotokollierung von Windows wohl zum Ergebnis kommen, dass sie „alternativlos“, also erforderlich ist.

Allerdings bietet sich an, eine Betriebsvereinbarung über Windows Regelungen vorzunehmen. Darin kann man festelegen, ob und wann Protokolldaten gelöscht werden müssen und wer sie ausschließlich für welche Zwecke nutzen darf.

Ticketsystem

Ob die Verarbeitung von Daten über das Verhalten von Arbeitnehmern im Ticketsystem erforderlich ist, hängt von dessen Einsatzzweck ab. Möglicherweise könnte man die Tickets einem Team zuweisen, statt den einzelnen Bearbeitern. Und möglicherweise ist es nicht erforderlich, dass dokumentiert wird, wer das Ticket bearbeitet bzw. geschlossen hat.

Andererseits gibt es Szenarios, bei denen es unverzichtbar ist, dass z. B. eine einzelne Person als Bearbeiter bestimmt wird. Es besteht sonst die Gefahr, dass sich niemand für das Ticket zuständig fühlt, und es deshalb unbearbeitet bleibt.

Fraglich ist aber, ob es unbedingt erforderlich ist, nach Abschluss des Tickets immer noch Daten über die einzelnen Personen (Auslöser, Erfasser, Bearbeiter etc.) zu verarbeiten. Wenn das Ticket erledigt ist, benötigt an diese Daten nicht mehr in jedem Fall. Demnach könnte eine sinnvolle Regelung darin bestehen, das gesamte Ticket eine gewisse Zeit nach der Lösung zu löschen. Oder man anonymisiert die Personenbezüge nach einer gewissen Zeit.

Erfahrungsgemäß stoßen solche Lösungen aber auf wenig Zustimmung auf Arbeitgeberseite. Erstens macht das Arbeit, es muss ggf. programmiert oder zumindest konfiguriert werden. Zweitens lassen sich dann manche Zwecke, die der Arbeitgeber auch im Sinn hat (z. B. Mängel in der Arbeit von Arbeitnehmern zu bewerten) nicht mehr verwirklichen. Dann stellt sich aber die Frage, ob diese Zwecke überhaupt legitim sind (womit man wieder beim ersten Prüfschritt angekommen ist).

4. Schritt: Kann den Arbeitnehmern die Überwachung zugemutet werden?

Wenn man festgestellt hat, dass die Zwecke legitim sind, dass die Einrichtung für die Zwecke geeignet ist und sie auch in dem Sinne erforderlich ist, dass die Zwecke nicht oder jedenfalls nicht annähernd so gut auf andere, weniger beeinträchtigende Weise verwirklicht werden können, kommt der vierte Schritt: Ist der Eingriff in die Persönlichkeitsrechte angesichts der Wichtigkeit der Zwecke zu rechtfertigen?

Angemessen ist die Regelung, wenn sie verhältnismäßig im engeren Sinn erscheint. Es bedarf hier einer Gesamtabwägung zwischen der Intensität des Eingriffs und dem Gewicht der ihn rechtfertigenden Gründe; die Grenze der Zumutbarkeit darf nicht überschritten werden

1 ABR 21/03 vom 26.06.2004

Man muss also abwägen: Wie intensiv ist der Eingriff in die Persönlichkeitsrechte der Arbeitnehmer? Und wie gewichtig sind die Gründe (also die Zwecke), die diesen Eingriff rechtfertigen? Ist der Eingriff von nur geringer Intensität (z. B. wird nur einmal täglich die Anwesenheit alles Arbeitnehmer erfasst), die Gründe sind aber von erheblicher Bedeutung (z. B. um Meldungen an die Berufsgenossenschaft erstellen zu können), wird er sicher gerechtfertigt sein. Je massiver der Eingriff in Persönlichkeitsrechte aber ist, desto gewichtiger müssen auch die Gründe dafür sein. Also die Zwecke, die mit der Einrichtung verwirklicht werden sollen.

Auch hier ein Beispiel:

Die Toilettenanlage eines Betriebs wird regelmäßig durch Vandalismus verunreinigt und beschädigt. Der Arbeitgeber will das verständlicherweise unterbinden. Um den Übeltäter zu überführen, will er eine Videoüberwachung auf der Toilette installieren.

Gemäß der vierstufigen Prüfung wird man feststellen, dass es einen Zweck gibt, und dieser ist auch legitim. Vermutlich wäre die Videoüberwachung auch geeignet, den oder die Randalierer zukünftig davon abzuhalten. Aber ob sie auch erforderlich ist, kann man getrost bestreiten. Man könnte auch Wachpersonal postieren oder die Toilette abschließen und den Schlüssel so deponieren, dass der Benutzer registriert wird.

Selbst wenn es keine andere Möglichkeit gäbe, wäre die Videoüberwachung der Toilettenanlage zwar erforderlich, aber dennoch unverhältnismäßig. Sie stellt einen massiven Eingriff in die Privat- bzw. Intimsphäre der Benutzer dar. Angesichts der Gründe, die dies rechtfertigen sollen, wäre das nicht zumutbar.

Zusammenfassung

Die Verarbeitung von Daten von Arbeitnehmern, die Aussagen über deren Verhalten oder Leistung ermöglichen, ist immer eine Beeinträchtigung der Persönlichkeitsrechte der Arbeitnehmer. Ob die Daten genutzt werden oder nicht, spielt dabei keine Rolle. Allein der Umstand, dass es diese Daten gibt und sie verarbeitet werden, beeinträchtigt die Persönlichkeitsrechte schon an sich.

Eine Beeinträchtigung von Persönlichkeitsrechten ist nicht kategorisch verboten, sie bedarf aber immer einer Rechtfertigung. Diese Rechtfertigung kann gesetzlich begründet sein, sie kann aber auch durch Interessen des Arbeitgebers entstehen.

Es muss also eine Abwägung erfolgen. Auf der einen Seite stehen die Intensität der Beeinträchtigung der Persönlichkeitsrechte und auf der anderen die Gründe, die diesen Eingriff rechtfertigen. Überwiegen die Gründe, die den Eingriff in die Persönlichkeitsrechte rechtfertigen, ist die Beeinträchtigung zulässig. Wiegen die Gründe nicht schwer genug, ist der Eingriff in die Persönlichkeitsrechte nicht gerechtfertigt und daher nicht zulässig. Je intensiver die Beeinträchtigung der Persönlichkeitsrechte ist, desto höhere Anforderungen werden an die Rechtfertigung gestellt.

Es ist anzunehmen, dass der Arbeitgeber diese Abwägung nicht objektiv durchführt. Daher ist es notwendig, dass eine weitere Instanz gleichberechtigt und als Korrektiv darüber mitbestimmt. Dieses Korrektiv ist der Betriebsrat.

Bei der Ausübung der Mitbestimmung sollte so verfahren werden, wie das in diesem Artikel beschrieben wird. Dabei ist jeder einzelne Schritt Gegenstand der Mitbestimmung. Gelingt eine Einigung über die Legitimität, Eignung, Erforderlichkeit und Zumutbarkeit nicht, wird die technische Einrichtung nicht eingeführt bzw. nicht angewendet. Ggf. entscheidet in diesem Fall die Einigungsstelle.

Erfahren Sie mehr!

Das passende Seminar zu diesem Thema:

Der wirkungsvolle EDV-Ausschuss – Teil I: Gläserne Arbeitnehmer

Vorheriges Thema Nächstes Thema