Arbeitsrecht: Datenschutzrecht – Anspruch des Betriebsrats auf Online-Zugriff auf Datenverarbeitungsverfahren des Arbeitsgebers?

Hat ein Betriebsrat im Rahmen des betriebsverfassungsrechtlichen Informationsanspruchs einen Anspruch auf einen Online-Zugriff auf Datenverarbeitungsverfahren des Arbeitsgebers?

Die Rechtsprechung, zum Beispiel das LAG Nürnberg vom 04.08.2004 in RDV 2006 84 L, verneint einen Anspruch aufgrund eines gesetzlichen Online-Zugriffrechts des Betriebsrats. In der zitierten Entscheidung forderte der Betriebsrat den Zugang zu einem SAP – Entgeltabrechungssystem des Arbeitgebers. Nach Ansicht des LAG Nürnberg steht dem Betriebsrat weder als Ausformung seiner Rechte aus § 80 BetrVG noch als Sachausstattung nach § 40 BetrVG ein eigenständiger oder auftragsgemäßer Zugang zu dem arbeitgebergebräuchlichen SAP – Entgeltabrechungssystem zu. Nach Ansicht der Richter des LAG Nürnberg existiere eine entsprechende Anspruchsgrundlage nicht.

Auch das Bundesarbeitsgericht hatte in seiner Entscheidung zum Zugangsrecht des Betriebsrats zum Internet gemäß § 40 Abs. 2 BetrVG vom 03.09.2003 (Az. DAGE 107,231 bzw. NZA 2004, Seite 280) keine Hinweise erteilt, dass sich aus § 40 Abs. 2 BetrVG ein Recht auf Online-Zugriff oder ein Recht auf sonstige Zugriffe auf beim Arbeitgeber elektronisch gespeicherte Daten des Betriebsrats ergeben könnte. Sämtliche weitere in Betracht kommenden Normen, insbesondere auch Überlegungen zur Auftragsdatenverarbeitung gemäß § 11 BDSG greifen hier nicht. Eine entsprechende Anspruchsgrundlage existiert nicht. Die einzige Möglichkeit bleibt letztlich, dass auf Grundlage einer freiwillig geschlossenen Betriebsvereinbarung zwischen Arbeitgeber und Betriebsrat ein über die Gesetzesgrundlagen hinausgehendes Recht eingeräumt wird. Gleichwohl ist hier zu berücksichtigen, dass ein als Online-Zugriffsrecht ausgestaltetes Informationsrecht des Betriebsrats an die Grenzen von § 80 Abs. 2 BetrVG gebunden ist. Es muss diesbezüglich ein konkreter Aufgabenbezug bestehen! Insofern kann der Betriebsrat nicht beliebig auf personenbezogene Daten des Arbeitsgebers online Zugriff nehmen. Dies kann er lediglich zur Erfüllung seiner betriebsverfassungsrechtlich garantierten Aufgaben.

Bereits das BAG hat in seiner Entscheidung vom 23.03.2010 (Az. 1 ABR 81/08) klargestellt, dass ein Betriebsrat nicht jede Auskunft verlangen kann, nur weil die dadurch vermittelten Erkenntnisse ihn insgesamt sachkundiger machen würden. Immerhin darf ein Online-Zugriff nicht dazu dienen, völlig aufgabenbezugslos die Unternehmensstrategie „auszuforschen“. Insofern ist ein schrankenloser Online-Zugriff auch aufgrund einer freiwilligen Betriebsvereinbarung des Betriebsrats mit dem Arbeitgeber nicht möglich, da es immer einen Aufgabenbezug geben muss.

Es bestehen darüber hinaus weitere andere Grenzen des Online-Zugriffs: Der Betriebsrat darf Informationen nicht um ihrer selbst Willen verlangen. Erst recht hat der Betriebsrat keine Möglichkeit, sich Informationen im Wege eines Selbsthilferechts zu beschaffen. Datenschutzrechtlich ist zu konstatieren, dass der Betriebsrat sowohl nach Auffassung des Bundesarbeitsgerichts als auch nach ganz herrschender Meinung Teil der verantwortlichen Stelle des Arbeitsgebers ist, also datenschutzrechtlich Teil des datenverarbeitenden Arbeitsgebers ist. Es ergibt sich jedoch eine Pflicht des Arbeitsgebers zur Ergreifung technischer Maßnahmen wie der Verschlüsselung, Anonymisierung, Pseudonymisierung oder des Mitspeicherns (Logging – Erstellen von Logfiles) aller durchgeführten Aktionen. Dies ergibt sich bereits aus dem Umstand, dass der Betriebsrat nach inzwischen überwiegender Auffassung dem Datengeheimnis gemäß § 5 Satz 1 BetrVG unterliegt (Vgl. hierzu Bundesarbeitsgericht in NZA 2009, Seite 1218).

Der Arbeitgeber ist bekanntlich nach § 9 BDSG verpflichtet, technische und organisatorische Maßnahmen zu treffen, die erforderlich sind, um die Ausführungen der Vorschriften des BDSG zu gewährleisten. Dies betrifft im Falle des Online-Zugriffs personenbezogener Daten durch den Betriebsrat auch diesen Datenfluss, sodass auch hier der Arbeitgeber zusammen mit dem Betriebsrat Maßnahmen ergreifen muss, damit im Sinne des § 9 BDSG bzw. der Anlage zu § 9 Satz 1 BDSG die Datensicherheit gewährleistet ist. Sofern es sich bei der Datenerhebung / Verarbeitung um eigene Daten des Betriebsrats handelt, unterliegt dieser lediglich der Selbstkontrolle. Handelt es sich hingegen um vom Arbeitgeber erhobene Daten, die der Betriebsrat durch Online-Zugriff dann nutzt bzw. verarbeitet, unterliegen diese Datenflüsse der Kontrolle des Datenschutzbeauftragten des Betriebs. Allerdings darf dies nicht dazu führen, dass das Gebot der Freiheit des Betriebsrats unterlaufen wird und quasi hier der Arbeitgeber durch den betrieblichen Datenschutzbeauftragten Kontrolle über die Tätigkeiten des Betriebsrats erlangt.

Fraglich ist, ob die betroffenen Arbeitnehmer über den konkreten Online-Zugriff des Betriebsrats auf personenbezogene Arbeitnehmerdaten des Arbeitgebers informiert werden müssen? Betriebsverfassungsrechtlich ergeben sich hier keine Anhaltspunkte. Es können sich jedoch aus dem Bundesdatenschutzgesetz entsprechende Verpflichtungen ergeben. Allerdings liegt im Zweifel bei dem bloßen Leserecht in Bezug auf die Daten des Arbeitsgebers eine Nutzung und keine Änderung oder Speicherung ohne Kenntnis des Arbeitnehmers vor, sodass die Betroffenen nicht gemäß § 33 BDSG zu informieren sind.

Karsten Klug
Fachanwalt für Arbeitsrecht, Hamburg

Datenschutz: Die Auftragsdatenverarbeitung (§ 11 BDSG)

Die Auftragsdatenverarbeitung ist in § 11 BDSG geregelt. Voraussetzung ist,

  • dass personenbezogene Daten
  • im Auftrag der verantwortlichen Stelle
  • durch eine andere Stelle erhoben, verarbeitet oder genutzt werden sollen.

Nach der Grundkonzeption liegt eine Auftragsdatenverarbeitung nur dann vor, wenn der Auftragnehmer weisungsgebunden (ohne eigenen Wertungs- und Entscheidungsspielraum) für den Auftraggeber tätig wird. Ist dies nicht der Fall, liegt eine Datenübermittlung an einen Dritten vor (Funktionsübertragung), so dass der Auftragnehmer selbst zur verantwortlichen Stelle wird. Entscheidend ist (wie immer) nicht der Wortlaut einer Vereinbarung, sondern der tatsächliche Inhalt des Auftrags bzw. wie dieser gelebt wird.

Zudem ist streitig, ob weitere Anforderungen hinzutreten müssen:
Nach der sog. „Funktionsübertragungstheorie“ kommt es auf die reine „Hilfsfunktion“ des Auftragnehmers an.
Nach der Vertragstheorie kommt es auf die vom Auftragnehmer übernommene Aufgabe an, d.h. auch hier auf die Weisungsgebundenheit. Es kommt somit nicht auf das an, was delegiert wird, sondern auf das wie.

Fälle der Auftragsdatenverarbeitung sind z.B. Marketingmaßnahmen, wenn diese streng von dem Auftraggeber vorgegeben werden, aber auch das klassische IT – Outsourcing, wenn zumindest der IT – Dienstleister an die Vorgaben des Auftraggebers gebunden bleibt.

Auch die Auftragsdatenverarbeitung im Konzern ist möglich, so lange keine Anhaltspunkte dafür vorhanden sind, dass sich die beauftragte Ober- oder Muttergesellschaft nicht an die erteilten Weisungen hält (so z.B. bei einer konzernweiten Personaldatenbank).

Quasi als Rechtsfolge bleibt bei der Auftragsdatenverarbeitung der Auftraggeber gem. §§ 11 Abs.1 S.1, 3 Abs. 7 BDSG allein für die Einhaltung der jeweils einschlägigen datenschutzrechtlichen Anforderungen verantwortlich.

Dies umfasst

  • die Zulässigkeit der Erhebung, Verarbeitung, Nutzung der Daten nach allgemeinen und bereichsspezifischen Vorschriften
  • die Wahrung der Rechte des Betroffenen sowie
  • die Haftung gegenüber den Betroffenen.

Der Auftraggeber ist verpflichtet, den Auftragnehmer sorgfältig auszuwählen und zu überwachen.

§ 11 Abs. 2 S. 2 BDSG enthält eine nicht abschließende Liste von Punkten, die der Auftrag enthalten muss:

  • den Gegenstand und die Dauer des Auftrags,
  • den Umfang, die Art und den Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  • die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
  • die Berichtigung, Löschung und Sperrung von Daten,
  • die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  • die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  • die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  • mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  • den Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  • die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Die Form des Auftrags ist die Schriftform.

Dem Auftragnehmer obliegen folgende Verpflichtungen:

  • Weisungsgebundenheit
  • Hinweispflichten bei Rechtsverstößen

Für die IT – Branche ist § 11 Abs. 5 BDSG interessant (Prüfung und Wartung von DV – Anlagen). Immer dann, wenn seitens externer Dienstleister bei der Systembetreuung die Möglichkeit eines Zugriffs auf personenbezogene Daten besteht, ist § 11 Abs. 5 BDSG anwendbar. Dies ist z.B. auch bei der Fernwartung (Remote-Access) zu beachten.

Falls Sie Fragen im Rahmen der Auftragsdatenverarbeitung haben oder Hilfestellung bei der Formulierung einer schriftlichen Vereinbarung benötigen, stehe ich Ihnen gerne zur Verfügung.