Compliance oder ein Fall für den Betriebsrat? – Der Umgang mit IT-Pannen

Der besprochene Fall ereignet sich in einem Call-Center mit ca. 500 Beschäftigten, das für verschiedene Auftraggeber Kommunikationsdienste (Telefon, Mail, Chat) übernimmt. Dabei werden in großem Umfang personenbezogene Daten ausgetauscht. Zum Umgang mit möglichen IT-Datenpannen erteilt der Arbeitgeber die strikt einzuhaltende Arbeitsanweisung, in diesem Fall eine bestimmte, standardisierte E-Mail mit einem vorgefertigten Text an eine bestimmte Adresse zu schicken. Andere Melde-Verfahren mit derartigen Problemen soll es nicht geben.

Da es sich hier lt. Betriebsrat um eine strikt einzuhaltende Verhaltensregel zum Ordnungsverhalten handele, fordert er seine Mitbestimmungsrechte ein. Das sieht der Arbeitgeber anders:

Der Arbeitgeber betrachtet seine Anweisung als Compliance-Maßnahme, die sich zwingend aus seinen Verpflichtungen der Datenschutzgrundverordnung (Art. 33 DSGVO) ergebe. Das bedeute für ihn, schnell zu reagieren, was am besten mit einer E-Mail gewährleistet sei. Eine Mitbestimmungspflicht sehe er daher nicht.

Das Gericht hat jedoch einen anderen Blick auf die Dinge: Da es sich um eine Angelegenheit der betrieblichen Ordnung handele, deren standardisierte Verhaltensregeln zum Umgang mit IT-Pannen keinesfalls zwingend aus der DSGVO hervorgehen, stehe dem lokalen Betriebsrat deshalb ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 1 BetrVG zu. Eine solche Verhaltensregel sei keine bloße Konkretisierung des »Arbeitsverhaltens«, die der Arbeitgeber kraft seines Direktionsrechts ohne Betriebsrat vornehmen könne. Die Anweisung des Arbeitgebers an die Mitarbeiter, im Fall einer Datenpanne eine bestimmte Mail mit standardisiertem Inhalt an eine bestimmte E-Mail-Adresse zu senden, entspreche einer betrieblichen Verhaltensregel.

Diese Vorgehensweise kann durchaus nach Art. 33 der DSGVO zweckmäßig sein, sie ergibt sich aber keineswegs zwingend aus den gesetzlichen Anforderungen der DSGVO. Zudem enthält die Anweisung Regelungen bei Abwesenheiten der Arbeitnehmer, die ebenfalls mitbestimmungspflichtig sind.

Da eine unternehmensübergreifende oder konzerneinheitliche Regelung aus objektiven Gründen nicht zwingend erforderlich und nach der Theorie der subjektiven Unmöglichkeit auch nicht geboten ist, hält das Gericht den örtlichen Betriebsrat für zuständig.

Compliance-Regeln sollen das Verhalten im Betrieb absichern. Im Sinne der Belegschaft ist das sinnvoll, und Arbeitgeber berufen sich häufig darauf, die DSGVO zwinge sie zu bestimmten Compliance- oder Überwachungsmaßnahmen. Das ist aber nur in seltenen Fällen richtig. In den meisten Fällen müssen nach § 87 Abs. 1 Nr. 1 BetrVG die Rechte der Arbeitnehmer berücksichtigt werden. Aufgrund gesetzlicher Bestimmungen müssen Arbeitgeber zwar Überwachungssysteme einrichten. Beim »Wie« der Umsetzung muss jedoch der Betriebsrat im Sinne der Belegschaft mitwirken.

Quellen: bund-verlag.de (fro); LAG Schleswig-Holstein (06.08.2019), Aktenzeichen 2 TaBV 9/19