Am 23.4.2020 hat der Bundestag die Beschlussempfehlung und den Bericht des Ausschusses für Arbeit und Soziales (BT Drs 19/18753, pdf) zu dem Entwurf für ein Gesetz zur Förderung der beruflichen Weiterbildung im Strukturwandel und zur Weiterentwicklung der Ausbildungsförderung (BT Drs. 19/17740) angenommen, mit dem auch ein neuer § 129 in das Betriebsverfassungsgesetz (BetrVG) aufgenommen wird.
Dadurch wird es dem Betriebsrat, dem Gesamt- und Konzernbetriebsrat sowie der Jugend- und Auszubildendenvertretung, der Gesamt-Jugend- und Auszubildendenvertretung und der Konzern-Jugend- und Auszubildendenvertretung sowie den Ausschüssen dieser Gremien ermöglicht, Sitzungen und Beschlussfassungen mittels Video- und Telefonkonferenz einschließlich online gestützter Anwendungen durchzuführen.
Die Regelung tritt rückwirkend zum 1. März 2020 in Kraft und gilt zeitlich beschränkt bis zum 31. Dezember 2020.
Nachfolgend möchte ich kurz die in der Norm aufgestellten Anforderungen und deren datenschutzrechtliche Implikationen belechten.
Der neue § 129 Abs. 1 BetrVG lautet:
§ 129
Sonderregelungen aus Anlass der Covid-19-Pandemie
(1) Die Teilnahme an Sitzungen des Betriebsrats, Gesamtbetriebsrats, Konzernbetriebsrats, der Jugend- und Auszubildendenvertretung, der Gesamt-Jugend- und Auszubildendenvertretung und der Konzern- Jugend- und Auszubildendenvertretung sowie die Beschlussfassung können mittels Video- und Telefonkonferenz erfolgen, wenn sichergestellt ist, dass Dritte vom Inhalt der Sitzung keine Kenntnis nehmen können. Eine Aufzeichnung ist unzulässig. § 34 Absatz 1 Satz 3 gilt mit der Maßgabe, dass die Teilnehmer ihre Anwesenheit gegenüber dem Vorsitzenden in Textform bestätigen. Gleiches gilt für die von den in Satz 1 genannten Gremien gebildeten Ausschüsse.
Die Regelung trägt nach der Begründung der Situation um die Covid-19-Pandemie und den damit verbundenen Schwierigkeiten einer Präsenzsitzung Rechnung. Die neue Regelung soll Rechtssicherheit für diese Ausnahmesituation schaffen und ermögliche es dem
Betriebsrat für einen begrenzten Zeitraum, Sitzungen und Beschlussfassungen mittels Video- und Telefonkonferenz einschließlich online gestützter Anwendungen wie WebEx Meetings oder Skype durchzuführen.
Besonders interessant an dieser Begründung ist natürlich, dass der Ausschuss hier zwei ganz spezifische Anbieter bzw. deren Produkte in der Begründung des Gesetzesentwurfs nennt. Aus praktischer Sicht stellt sich Frage, ob hiermit gleichzeitig deren datenschutzrechtliche Konformität und Geeignetheit zur Erfüllung der aufgestellten Anforderungen (qua Gesetz) festgestellt wird? Ich persönlich vermute, dass die Mitglieder des Ausschusses eine solche Konformitätserklärung nicht intendiert hatten. Dies wird mE auch durch die beispielhafte Aufzählung der Dienste deutlich („wie“). Es wird also sicher auch andere Anbieter geben, die die Anforderungen des neuen § 129 BetrVG erfüllen.
Zudem werden die bei dem Einsatz solcher Anwendungen zu beachtenden Anforderungen auch nachfolgend in der Norm, also ganz allgemein und anbieterunabhängig, genannt.
Damit stellt sich die Frage, was diese Anforderungen sind.
Die Begründung führt hierzu aus:
Es soll sichergestellt sein, dass Dritte vom Inhalt der Sitzung keine Kenntnis nehmen können. Dies umfasst technische Maßnahmen wie zum Beispiel eine Verschlüsselung der Verbindung und organisatorische Maßnahmen wie die Nutzung eines nichtöffentlichen Raumes während der Dauer der Sitzung.
Auch aus dieser Begründung ergibt sich, dass die beispielhaft benannten Dienste diese Voraussetzung auch erfüllen müssen. Ob sie dies nach Ansicht des Ausschusses tun, ergibt sich aus der Begründung leider nicht.
Aus datenschutzrechtlicher Perspektive ist diese Anforderung des neuen § 129 BetrVG (in Zusammenschau mit der Begründung) wohl die relevanteste. Daher im Einzelnen:
Dritte
Ist hiermit der „Dritte“ im Sinne des Art. 4 Nr. 10 DSGVO gemeint? Ich meine, wohl nicht, denn in der ganzen Begründung wird kein einziges Mal auf die DSGVO verwiesen. Und damit auch nicht auf ihre Definitionen. Andererseits ist es damit aber natürlich nicht ausgeschlossen, dass man von dem Terminus „Dritte“ eventuell eingesetzte Auftragsverarbeiter iSd DSGVO gerade nicht umfasst sieht. Dies würde in der Konsequenz bedeuten, dass ein Anbieter von Videokonferenzsystemen, wenn er als Auftragsverarbeiter agiert, nicht als „Dritter“ anzusehen wäre. Wie gesagt, ist die Begründung und auch der Wortlaut der Norm hier aber nicht klar.
Inhalt der Sitzung
Diese Dritten dürfen spezifisch den Inhalt der Sitzung nicht zur Kenntnis nehmen. Damit ist aber nicht ausgeschlossen, dass Dritte angrenzende Informationen zu der Sitzung, insbesondere Angaben zum Datum, zur Uhrzeit oder auch zu den Teilnehmern erhalten dürfen. Man könnte hiervon etwa (Tool)Anbieter umfasst sehen, wenn dort Daten zur Planung einer Videokonferenz erfasst und verarbeitet werden. Diese Informationen dürften, auch vom Schutzzweck der Norm her, daher nicht zum „Inhalt“ der Sitzung zählen. Denn es dürfte darum gehen, dass Dritte (im Sinne Unbefugter) nicht Kenntnis von den Themen und Beschlüssen der Sitzung nehmen. Dies würde auch mit der Verschwiegenheitspflicht der Mitglieder korrespondieren (vgl. etwa § 79Abs. 1 BetrVG).
Keine Kenntnis nehmen können
Es soll sichergestellt sein, dass die Dritten keine Kenntnis nehmen „können“. Ausreichend ist nach dem Wortlaut daher nicht, dass sie keine Kenntnis nehmen „dürfen“, etwa durch vertragliche Regelungen. Der Gesetzgeber scheint hier tatsächlich stark auf die technisch-organisatorisch Ebene zu schielen. Es soll also durch entsprechend umzusetzende Maßnahmen die Gewähr dafür geboten werden, dass die Kenntnisnahme nicht möglich ist. Interessant ist auch, dass der Gesetzgeber kein Verhältnismäßigkeitskriterium bei der Maßnahmenumsetzung einzieht. Etwa: nach dem „Stand der Technik“ oder der Kosten der Umsetzung.
Technische Maßnahmen, wie z.B. eine Verschlüsselung
Die Begründung zu § 129 Abs. 1 BetrVG trennt, wie etwa auch die DSGVO, zwischen technischen und organisatorischen Maßnahmen. Meines Erachtens kann man sicher daher, bei der konkreten Umsetzung, durchaus an bekannten Kriterien und Praxisbeispielen aus Art. 32 DSGVO orientieren.
Das Gesetz nennt ausdrücklich die Verschlüsselung. Jedoch nur beispielhaft, als eine mögliche Maßnahme („wie zum Beispiel“). Daher ist der Einsatz eines Anbieters, der nicht verschlüsselt oder nur zum Teil verschlüsselt, nicht ausgeschlossen. Es müssen dann eben alternativ adäquate Maßnahmen gefunden werden.
Interessant ist auch, dass die Begründung nicht näher erläutert, welche Art von Verschlüsselung gemeint ist. Es ist also nicht vorgegeben, ob etwa eine Transportverschlüsselung mindestens umzusetzen wäre. Jedoch gilt es hierbei zu beachten, dass bei einer Verarbeitung von personenbezogenen Daten daneben natürlich die Vorgaben der DSGVO zu beachten sind. Eine Transportverschlüsselung der Daten darf man nach Art. 32 DSGVO wohl als den Stand der Technik erwarten.
Organisatorische Maßnahmen
Daneben erwähnt die Gesetzesbegründung auch organisatorische Maßnahmen. Hierfür wird als Beispiel die Nutzung eines nichtöffentlichen Raumes während der Dauer der Sitzung genannt. Als weiteres Beispiel wird die Abgabe der Zusicherung aller Teilnehmer erwähnt, dass nur teilnahmeberechtigte Personen in dem von ihnen genutzten Raum anwesend sind.
Nach der Begründung sollen sowohl technische als auch organisatorische Maßnahmen umgesetzt werden („Dies umfasst technische Maßnahmen … und organisatorische Maßnahmen …“). Die Aufzählung erfolgt nicht alternativ („oder“). Daher darf man davon ausgehen, dass auf beiden Ebenen entsprechende Maßnahmen umzusetzen sind, um die Anforderung des § 129 Abs. 1 BetrVG zu erfüllen.
Keine Aufzeichnung
Zuletzt ist, im Geiste des Privacy by Default, zu beachten, dass nach § 129 Abs. 1 BetrVG eine Aufzeichnung der Sitzung unzulässig ist. Dies soll nach der Begründung Persönlichkeitsschutz der Teilnehmer und der Wahrung der Nichtöffentlichkeit der Betriebsratssitzung dienen.
Rein praktisch ist also bei dem Einsatz eines entsprechenden Anbieters darauf zu achten, dass die Videokonferenz nicht aufgezeichnet wird (bzw. werden kann). Gelichzeitig ist aber mE nicht ausgeschlossen, einen Dienst zu nutzen, der per se die Aufzeichnung ermöglicht. Es muss aber sichergestellt sind, dass eine solche nicht erfolgt.
Daneben: DSGVO
Natürlich müssen neben den speziellen neuen Anforderungen in § 129 BetrVG auch weiterhin die Vorgaben des Datenschutzrecht beachtet werden. Denn im Rahmen der Sitzungen werden personenbezogene Daten der Teilnehmer verarbeitet. Zu beachten ist hierbei insbesondere:
- Informationen der Betroffenen zur Datenverarbeitung (Art. 12, 13 DSGVO)
- Aufnahme des Tools als Verfahren in das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
- Abschluss erforderlicher Verträge mit dem Anbieter (Art. 28 DSGVO)
- Bei einer Übermittlung in Länder außerhalb der EU: Erfüllen der Vorgaben der Art. 44 ff. DSGVO (z.B. EU-Standardvertragsklauseln).
Zudem bietet diese Neuerung auch wieder Potential für eine Diskussion darüber, wer im Rahmen der Durchführung von Videokonferenzen bei Betriebsratssitzungen eigentlich der datenschutzrechtlich Verantwortliche ist: der Arbeitgeber oder der Betriebsrat? (siehe etwa hier).
Fazit
Die in § 129 Abs. 1 BetrVG neu geschaffenen Anforderungen zum Einsatz von Anwendungen für Video- und Telefonkonferenz dürften aus datenschutzrechtlicher Brille betrachtet nicht wirklich überraschen. In der Norm selbst sind die erforderlichen Maßnahmen jedoch nur vage geregelt. Praktisch empfiehlt es sich, die Erfüllung der Anforderungen intern sowohl über entsprechende Vorgaben bzw. Leitlinien sicherzustellen, in denen der korrekte und DSGVO- als auch BetrVG-konforme Umgang mit der jeweiligen Software erläutert und vorgegeben wird. Auf technischer Ebene ist für eine Validierung der Sicherheit der Verbindung zu sorgen.