Arbeitsrecht: Datenschutzrecht – Anspruch des Betriebsrats auf Online-Zugriff auf Datenverarbeitungsverfahren des Arbeitsgebers?

Hat ein Betriebsrat im Rahmen des betriebsverfassungsrechtlichen Informationsanspruchs einen Anspruch auf einen Online-Zugriff auf Datenverarbeitungsverfahren des Arbeitsgebers?

Die Rechtsprechung, zum Beispiel das LAG Nürnberg vom 04.08.2004 in RDV 2006 84 L, verneint einen Anspruch aufgrund eines gesetzlichen Online-Zugriffrechts des Betriebsrats. In der zitierten Entscheidung forderte der Betriebsrat den Zugang zu einem SAP – Entgeltabrechungssystem des Arbeitgebers. Nach Ansicht des LAG Nürnberg steht dem Betriebsrat weder als Ausformung seiner Rechte aus § 80 BetrVG noch als Sachausstattung nach § 40 BetrVG ein eigenständiger oder auftragsgemäßer Zugang zu dem arbeitgebergebräuchlichen SAP – Entgeltabrechungssystem zu. Nach Ansicht der Richter des LAG Nürnberg existiere eine entsprechende Anspruchsgrundlage nicht.

Auch das Bundesarbeitsgericht hatte in seiner Entscheidung zum Zugangsrecht des Betriebsrats zum Internet gemäß § 40 Abs. 2 BetrVG vom 03.09.2003 (Az. DAGE 107,231 bzw. NZA 2004, Seite 280) keine Hinweise erteilt, dass sich aus § 40 Abs. 2 BetrVG ein Recht auf Online-Zugriff oder ein Recht auf sonstige Zugriffe auf beim Arbeitgeber elektronisch gespeicherte Daten des Betriebsrats ergeben könnte. Sämtliche weitere in Betracht kommenden Normen, insbesondere auch Überlegungen zur Auftragsdatenverarbeitung gemäß § 11 BDSG greifen hier nicht. Eine entsprechende Anspruchsgrundlage existiert nicht. Die einzige Möglichkeit bleibt letztlich, dass auf Grundlage einer freiwillig geschlossenen Betriebsvereinbarung zwischen Arbeitgeber und Betriebsrat ein über die Gesetzesgrundlagen hinausgehendes Recht eingeräumt wird. Gleichwohl ist hier zu berücksichtigen, dass ein als Online-Zugriffsrecht ausgestaltetes Informationsrecht des Betriebsrats an die Grenzen von § 80 Abs. 2 BetrVG gebunden ist. Es muss diesbezüglich ein konkreter Aufgabenbezug bestehen! Insofern kann der Betriebsrat nicht beliebig auf personenbezogene Daten des Arbeitsgebers online Zugriff nehmen. Dies kann er lediglich zur Erfüllung seiner betriebsverfassungsrechtlich garantierten Aufgaben.

Bereits das BAG hat in seiner Entscheidung vom 23.03.2010 (Az. 1 ABR 81/08) klargestellt, dass ein Betriebsrat nicht jede Auskunft verlangen kann, nur weil die dadurch vermittelten Erkenntnisse ihn insgesamt sachkundiger machen würden. Immerhin darf ein Online-Zugriff nicht dazu dienen, völlig aufgabenbezugslos die Unternehmensstrategie „auszuforschen“. Insofern ist ein schrankenloser Online-Zugriff auch aufgrund einer freiwilligen Betriebsvereinbarung des Betriebsrats mit dem Arbeitgeber nicht möglich, da es immer einen Aufgabenbezug geben muss.

Es bestehen darüber hinaus weitere andere Grenzen des Online-Zugriffs: Der Betriebsrat darf Informationen nicht um ihrer selbst Willen verlangen. Erst recht hat der Betriebsrat keine Möglichkeit, sich Informationen im Wege eines Selbsthilferechts zu beschaffen. Datenschutzrechtlich ist zu konstatieren, dass der Betriebsrat sowohl nach Auffassung des Bundesarbeitsgerichts als auch nach ganz herrschender Meinung Teil der verantwortlichen Stelle des Arbeitsgebers ist, also datenschutzrechtlich Teil des datenverarbeitenden Arbeitsgebers ist. Es ergibt sich jedoch eine Pflicht des Arbeitsgebers zur Ergreifung technischer Maßnahmen wie der Verschlüsselung, Anonymisierung, Pseudonymisierung oder des Mitspeicherns (Logging – Erstellen von Logfiles) aller durchgeführten Aktionen. Dies ergibt sich bereits aus dem Umstand, dass der Betriebsrat nach inzwischen überwiegender Auffassung dem Datengeheimnis gemäß § 5 Satz 1 BetrVG unterliegt (Vgl. hierzu Bundesarbeitsgericht in NZA 2009, Seite 1218).

Der Arbeitgeber ist bekanntlich nach § 9 BDSG verpflichtet, technische und organisatorische Maßnahmen zu treffen, die erforderlich sind, um die Ausführungen der Vorschriften des BDSG zu gewährleisten. Dies betrifft im Falle des Online-Zugriffs personenbezogener Daten durch den Betriebsrat auch diesen Datenfluss, sodass auch hier der Arbeitgeber zusammen mit dem Betriebsrat Maßnahmen ergreifen muss, damit im Sinne des § 9 BDSG bzw. der Anlage zu § 9 Satz 1 BDSG die Datensicherheit gewährleistet ist. Sofern es sich bei der Datenerhebung / Verarbeitung um eigene Daten des Betriebsrats handelt, unterliegt dieser lediglich der Selbstkontrolle. Handelt es sich hingegen um vom Arbeitgeber erhobene Daten, die der Betriebsrat durch Online-Zugriff dann nutzt bzw. verarbeitet, unterliegen diese Datenflüsse der Kontrolle des Datenschutzbeauftragten des Betriebs. Allerdings darf dies nicht dazu führen, dass das Gebot der Freiheit des Betriebsrats unterlaufen wird und quasi hier der Arbeitgeber durch den betrieblichen Datenschutzbeauftragten Kontrolle über die Tätigkeiten des Betriebsrats erlangt.

Fraglich ist, ob die betroffenen Arbeitnehmer über den konkreten Online-Zugriff des Betriebsrats auf personenbezogene Arbeitnehmerdaten des Arbeitgebers informiert werden müssen? Betriebsverfassungsrechtlich ergeben sich hier keine Anhaltspunkte. Es können sich jedoch aus dem Bundesdatenschutzgesetz entsprechende Verpflichtungen ergeben. Allerdings liegt im Zweifel bei dem bloßen Leserecht in Bezug auf die Daten des Arbeitsgebers eine Nutzung und keine Änderung oder Speicherung ohne Kenntnis des Arbeitnehmers vor, sodass die Betroffenen nicht gemäß § 33 BDSG zu informieren sind.

Karsten Klug
Fachanwalt für Arbeitsrecht, Hamburg