07.01.2020

BAG: Meldeverfahren bei Datenpanne ist mitbestimmungspflichtig

Mit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Mai 2018 rückte das Thema Datenschutz noch mehr in den Fokus der Betriebsratsarbeit. Aufgrund der fortschreitenden Digitalisierung wird die Bedeutung des Datenschutzes weiter wachsen. Gut, dass das BAG hier die Rechte des Betriebsrats gestärkt hat.

Betriebsrat Datenschutz

Worum geht es?

Mitbestimmung. Die Arbeitgeberin betreibt ein Callcenter mit rund 500 Beschäftigten. Im Rahmen der angebotenen Leistungen kommunizieren die Beschäftigten per Telefon, SMS, E-Mail und Chat mit Endkunden der Auftraggeber. Im Rahmen dieser Kommunikation werden personenbezogene und sonstige Daten ausgetauscht und bearbeitet. Projekt- und Teamleiter überwachen die Beschäftigten hinsichtlich der Aufgabenerfüllung und sind Ansprechpartner zur Klärung von Fragen und Problemen für die ihnen unterstellten Beschäftigten. Im Juni 2018 verteilte die Arbeitgeberin eine Arbeitsanweisung an die Team- und Projektleiter. Hintergrund dieser Arbeitsanweisung war die Installation eines Meldesystems zur Vermeidung von Datenpannen entsprechend den neuen Datenschutzregelungen gemäß den Vorgaben der DSGVO. Darin wurden die Beschäftigten u. a. angewiesen, ein standardisiertes Meldeverfahren anzuwenden. Der entscheidende Passus in der Arbeitsanweisung lautete sinngemäß wie folgt: „Bei jeder Datenpanne ist umgehend eine E-Mail mit folgendem Inhalt an die E-Mail-Adresse (…) zu senden“. Der Betriebsrat meinte, dass es sich bei der Arbeitsanweisung um ein datenschutzrechtliches Compliance System handele, dessen Einführung mitbestimmungspflichtig sei, weil es das Ordnungsverhalten im Sinne des § 87 Abs. 1 Nr. 1 BetrVG betreffe.

Das sagt das Gericht

Das BAG gab dem Betriebsrat Recht. Der Betriebsrat habe bei dem Verfahren, in welcher Art und Weise eine Datenpanne gemeldet werde und wie der betroffene Arbeitnehmer mitzuwirken habe, ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 1 BetrVG. Die Anweisung, bei jeder Datenpanne umgehend eine E-Mail mit einem festgeschriebenen Inhalt an eine vorgegebene Mailadresse zu senden, regele nicht das mitbestimmungsfreie Arbeitsverhalten, weil nicht vorgegeben werde, welche Arbeit auf welche Art und Weise auszuführen sei. Die Anweisung schaffe vielmehr eine betriebliche Verhaltensregel, die den Beschäftigten keine Wahl lasse, wie sie die Meldung einer Datenpanne vornehmen sollen. Im Ergebnis bestehe der mitbestimmungspflichtige Sachverhalt darin, dass die Arbeitgeberin kraft ihres Weisungsrechts ein standardisiertes Vorgehen der Beschäftigten erreichen wolle, dass weder durch vertragliche Nebenpflichten noch durch gesetzliche Vorschriften (DSGVO) zwingend vorgegeben werde. LAG Schleswig-Holstein, Beschluss vom 06.08.2019, Az.: 2 TaBV 9/19

Das bedeutet für Sie als Betriebsrat

Die Vorgabe, eine Datenpanne in der im Eingangsfall beschriebenen Art und Weise zu melden, führt dazu, dass der Arbeitgeber in der Lage ist, seinen Verpflichtungen nach Art. 33 DSGVO „Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde“ nachzukommen. Solche Regelungen über sogenannte Compliance-Systeme, mit denen gesetzliche Organisations- und Überwachungspflichten des Arbeitgebers institutionalisiert werden, um ein regelkonformes Verhalten von Beschäftigten zu gewährleisten, werden dem Tatbestand des § 87 Abs. 1 Nr. 1 BetrVG zugeordnet und unterliegen somit der Mitbestimmung des Betriebsrats.

Autor: Daniel Roth (ist Chefredakteur des Beratungsbriefs Urteils-Ticker Betriebsrat.)