BAG konkretisiert datenschutzrechtliche Unterstützungspflichten des Betriebsrats

In seinem Beschluss vom 9. Mai 2023 hatte sich das BAG unter anderem mit den Vorgaben von § 79a BetrVG und damit dem datenschutzrechtlichen Verhältnis zwischen Arbeitgeber und Betriebsrat zu befassen. 

Sachverhalt

In dem Verfahren stritten die Parteien um einen Auskunftsanspruch des Betriebsrats. Der Betriebsrat verlangte von der Arbeitgeberin, ihm ein Verzeichnis über alle im Betrieb und Unternehmen beschäftigten schwerbehinderten und diesen gleichgestellten behinderten Menschen zu übermitteln. Die Arbeitgeberin erteilte daraufhin lediglich die Auskunft, der Schwellenwert für die Wahl einer Schwerbehindertenvertretung im Betrieb sei erreicht.

U.a. ging es um die Frage, ob dem Auskunftsanspruch datenschutzrechtliche Gründe entgegenstünden. 

Entscheidung

Das BAG geht davon aus, dass aus dem Datenschutzrecht nichts gegen die Erfüllung des Auskunftsanspruchs spreche. Die Weitergabe der begehrten Daten an den Betriebsrat sei nach § 26 Abs. 3 iVm. § 22 Abs. 2 BDSG zulässig.

In der Begründung befasst sich das BAG auch mit den (relativ neuen) Regelungen des § 79a BetrVG. 

§ 79a BetrVG

Bekanntlich legte der Gesetzgeber in § 79a BetrVG gesetzlich die datenschutzrechtliche Verantwortlichkeit zwischen Arbeitgeber und Betriebsrat fest (wenn auch, aus meiner Sicht, nicht besonders klar).

Nach Satz 1 der Norm hat der Betriebsrat bei der Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten. Gemäß Satz 2 ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften, soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet.

Und zuletzt ist in § 79a S. 3 BetrVG vorgesehen, dass Arbeitgeber und Betriebsrat sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften unterstützen.

Ansicht des BAG

Nach Auffassung des BAG bewirkt die Vorschrift des § 79a Satz 2 BetrVG nicht, dass das verlangte Datenschutzniveau nicht mehr gewährleistet wäre. 

Hierbei könne, so das Gericht, dahinstehen, ob die Norm, die die umstrittene datenschutzrechtliche Verantwortlichkeit für die Verarbeitung personenbezogener Daten durch den Betriebsrat nun ausdrücklich dem Arbeitgeber zuweist im Einklang mit Art. 4 Nr. 7 DSGVO stehe. 

Denn den Betriebsrat treffen datenschutzrechtliche Pflichten unabhängig davon, ob er Teil der verantwortlichen Stelle oder selbst Verantwortlicher ist.

Er hat bei jeder Datenverarbeitung – und damit auch bei der Verarbeitung besonderer Kategorien personenbezogener Daten – die Datenschutzbestimmungen einzuhalten und ihre Vorgaben zu beachten (sh. schon BAG 7. Mai 2019 – 1 ABR 53/17 – Rn. 45, BAGE 166, 309; nun ausdrücklich in § 79a Satz 1 BetrVG vorgesehen)

Spannend ist die Ansicht des BAG dazu, wie die in § 79a S. 3 BetrVG vorgesehene Unterstützungspflicht in der Praxis umzusetzen ist. 

Das Gericht weist darauf hin, dass die Betriebsparteien nach § 79a S. 3 BetrVG verpflichtet sind, einander bei der Einhaltung der datenschutzrechtlichen Vorschriften zu unterstützen.

Dem Betriebsrat obläge es damit nicht nur, dem Arbeitgeber diejenigen Informationen zu übermitteln, die er für die Erfüllung der ihm als verantwortliche Stelle obliegenden Pflichten benötigt, sondern er hätte auch an der Erfüllung einer Pflicht zur Löschung von personenbezogenen Daten mitzuwirken“.

Das BAG formuliert hier ganz konkret die Pflicht des Betriebsrates, den Verantwortlichen (Arbeitgeber) bei der Erfüllung der datenschutzrechtlichen Pflichten zu unterstützen. Dies zum einen durch Bereitstellung von Informationen an den Arbeitgeber. Und zum anderen aber auch in der Form der Umsetzung datenschutzrechtlicher Pflichten im Bereich des Betriebsrates. Hier nennt das BAG etwa die Löschung von personenbezogenen Daten. 

OVG Berlin-Brandenburg: Social Media Auftritt einer Behörde mit Kommentarfunktion ist nicht mitbestimmungspflichtig (Abweichung von BAG Ansicht)

Das OVG Berlin-Brandenburg hat am 4.8.2021 (Az. 62 PV 5.20) einen auch für die Privatwirtschaft relevanten Beschluss zu der Frage gefasst, ob Behördenauftritte auf Social Media Plattformen, wie Facebook oder Twitter, die eine Kommentarfunktion enthalten, als technischen Einrichtungen, die  zur Überwachung des Verhaltens oder der Leistung der Beschäftigten in der Dienststelle bestimmt sind, gelten. Das OVG lehnt diese Einordnung mit umfassender Begründung und ausdrücklich unter Abweichung von der Entscheidung des BAG vom 13.12.2016 (Az. 1 ABR 7/15) ab. Zwar urteilt das Gericht hier auf der Grundlage des § 80 Abs. 1 Nr. 21 BPersVG; diese Vorschrift stimmt im Wortlaut aber praktisch mit § 87 Abs. 1 Nr. 6 BetrVG (für die Mitbestimmung des Betriebsrates) überein.

Sachverhalt

In dem Verfahren ging es u.a. um die Facebook-Seite @DeutscheRentenversicherungBund und den Instagram-Kanal @drvbunt. Der Antragsteller (wohl der Personalrat) forderte den wegen des Facebook-Auftritts zur Einleitung eines Mitbestimmungsverfahrens gemäß § 75 Abs. 3 Nr. 17 BPersVG unter Hinweis auf den Beschluss des BAG vom 13.12.2016 (Az. 1 ABR 7/15) auf.

Danach hat der Antragsteller einen Antrag beim Verwaltungsgericht Berlin anhängig gemacht, der darauf zielt festzustellen, dass der Antragsteller aus Anlass der Kommentarfunktion auf der bzw. dem vom Beteiligten betriebenen 1. Facebook-Seite, 2. lnstagram-Kanal „drvbunt“, 3. Twitter-Kanal @die_rente und 4. eine weitere Facebook-Seite jeweils nach § 75 Abs. 3 Nr. 17 BPersVG zu beteiligen ist.

Das Verwaltungsgericht hat dem Antrag stattgegeben (Az. VG 72 K 7.19 PVB) und sich in der Begründung dem Beschluss des BAG angeschlossen. Es meint, Nutzerkommentare könnten abhängig von ihrem Inhalt dazu geeignet sein, zur Überwachung von Leistung bzw. Verhalten der Beschäftigten beizutragen. Das reiche zur Mitbestimmungspflicht aus. Hiergegen wendet sich der Beteiligte mit seiner Beschwerde.

Entscheidung

Das OVG lehnt, anders als noch das VG, den Feststellungantrag des Antragstellers als unbegründet ab.

Nach Auffassung des OVG sind die vom Beteiligten zu verantwortenden Auftritte in den sozialen Medien

auch im Hinblick auf die den Nutzern ermöglichte Kommentierung nicht gemäß § 80 Abs. 1 Nr. 21 BPersVG mitbestimmungspflichtig“.

Nach dieser Vorschrift bestimmt der Personalrat mit, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, über die Einführung und Anwendung technischer Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen. Maßgeblich ist nach Ansicht des OVG eine objektiv-finale Betrachtungsweise: Diejenigen technischen Einrichtungen unterliegen der Mitbestimmung des Personalrats, die nach ihrer Konstruktion oder konkreten Verwendungsweise eine Überwachung von Verhalten oder Leistung der Beschäftigten ermöglichen.

Besonderes Augenmerk legt das OVG auf die „objektive Eignung zur Überwachung“. Dies unterscheidet eine gemäß § 80 Abs. 1 Nr. 21 BPersVG mitbestimmungspflichtige technische Einrichtung von anderen technischen Einrichtungen, die sich lediglich zur technischen Hilfe eignen und nicht unter den Mitbestimmungstatbestand fallen.

Das OVG macht deutlich:

Nach dem Schutzzweck des Mitbestimmungstatbestands ist nicht schlechterdings jeder Technisierungsfortschritt mitbestimmungspflichtig.“

Das Mitbestimmungsrecht des Personalrats soll sicherstellen, dass die Beeinträchtigungen und Gefahren für den Schutz der Persönlichkeit des Beschäftigten am Arbeitsplatz, die von der Technisierung der Verhaltens- und Leistungskontrolle ausgehen, auf das erforderliche Maß beschränkt bleiben. Daher, so das OVG, ist auch ein Überwachungsdruck, der sich durch eine womöglich kleinliche, jedenfalls engmaschige persönliche Kontrolle seitens der Vorgesetzten aufbaut, nach § 80 Abs. 1 Nr. 21 BPersVG unbeachtlich.

Die Kontrolle muss vielmehr mit Hilfe einer technischen Einrichtung erfolgen“.

Für den Mitbestimmungstatbestand ist spezifisch, dass die Überwachung gerade mit Hilfe einer als technisch zu bewertenden Einrichtung erfolge. Das BVerwG habe die Überwachung „mit Hilfe technischer oder elektronischer Kontrolleinrichtungen“ so interpretiert, dass technische Einrichtungen Anlagen oder Geräte seien, die unter Verwendung nicht menschlicher, sondern anderweit erzeugter Energie mit den Mitteln der Technik, insbesondere der Elektronik, eine selbständige Leistung erbrächten.

Entscheidend stellt das OVG auf eine selbständige Leistung der technischen Einrichtung ab. Diese kann bei der Erhebung von Daten oder bei deren Auswertung zum Tragen kommen. Es reiche auch aus, wenn nur die Erhebung durch einen Automaten erfolgt und die Auswertung von Menschen durchgeführt wird.

Aber: „Wird hingegen sowohl die Eingabe leistungs- und verhaltensrelevanter Daten als auch deren Auswertung von Menschen vorgenommen, erbringt die Einrichtung keine selbständige Leistung“.

Die selbständige Leistung zur Überwachung ist nach Ansicht des OVG nicht schon darin zu sehen, dass Daten gespeichert werden. Nach diesen Maßstäben seien die hier in Rede stehenden sozialen Medien auch im Hinblick auf die Kommentarfunktion keine technischen Einrichtungen im Sinn des § 80 Abs. 1 Nr. 21 BPersVG, sondern technische Hilfsmittel, weil weder die Datenerhebung noch die Datenauswertung ganz oder teilweise automatisch erfolgt.

Der Grund: Die womöglich mitbestimmungsrelevanten Daten werden von Nutzern händisch eingegeben. Und die Anbieter der sozialen Medien stellen den Seiteninhabern weder die Möglichkeit einer automatisierten (Teil-)Auswertung der Kommentare bereit noch sehen die Programme den nachträglichen Anschluss eines zur Auswertung bestimmten Programms vor.

Es fehlt insgesamt eine selbständige Leistung der Einrichtung, ein datenverarbeitendes Programm im Sinne des Bundesverwaltungsgerichts, das die Dienststelle zur Überwachung von Beschäftigten nutzen könnte“.

Das OVG lässt zudem eine Auswertungsmöglichkeit durch Dritte außer Betracht. Eine automatisierte Auswertung von Daten durch die Anbieter der sozialen Medien wie auch die Möglichkeit einer Ausspähung durch Geheim- bzw. Nachrichtendienste seien für den Mitbestimmungstatbestand, der allein die Überwachung durch den Dienstherrn bzw. Arbeitgeber der Beschäftigten in den Blick nimmt, unerheblich.

Das OVG macht deutlich, dass es mit seiner Begründung vom Beschluss des BAG vom 13.12.2016 (Az. 1 ABR 7/15) abweicht. Das BAG hielt es für ausreichend, dass die Informationen durch die Nutzer der Facebookseite aufgrund der dort vorhandenen Funktion eingegeben und mittels der von Facebook eingesetzten Software einer dauerhaften Speicherung und zeitlich unbegrenzten Zugriffsmöglichkeit zugeführt würden. Zwar traf das BAG traf seine Entscheidung zu § 87 Abs. 1 Nr. 6 BetrVG. Diese Vorschrift stimme aber im Wortlaut praktisch mit § 80 Abs. 1 Nr. 21 BPersVG überein. Zudem seien nach der Rechtsprechung des BVerwG beide Vorschriften im Wesentlichen gleich auszulegen.

Nach Ansicht des OVG wich angesichts dessen das BAG im Jahr 2016 von der vorhergehenden Rechtsprechung des BVerwG dadurch ab, „dass es nicht auf eine selbstständige Leistung der Einrichtung, auf ein datenverarbeitendes Programm abstellte“.

Das OVG verweist, als Grund für seine Abweichung, darauf, dass das BAG in seiner Entscheidung ein neuen Merkmal bzw. einen neuen Schutzgegenstand in die Auslegung des Mitbestimmungstatbestands einführt: die Prangerwirkung öffentlich zugänglicher Beschwerden / Kommentare über Beschäftigte.

Diese Aspekt, so das OVG, findet sich so in der Rechtsprechung des BVerwG noch nicht. Bislang war von den Gefahren der Technisierung nur der erhöhte Überwachungsdruck relevant, dem die Beschäftigten ausgesetzt sind.

Der Senat hält es allerdings für falsch, aus solchen Erwägungen heraus den Gesetzeszweck von § 80 Abs. 1 Nr. 21 BPersVG um einen vom Gesetzgeber nicht vorgesehenen Schutzgegenstand zu erweitern“.

Fazit

Das OVG ist ersichtlich um eine Eingrenzung des Mitbestimmungstatbestandes bemüht, der nach seiner Ansicht ansonsten das Potential hat, praktisch bei jeglicher Technologie anwendbar zu sein. Aufgrund der im Wesentlichen gleichen Auslegung des hier relevanten § 80 Abs. 1 Nr. 21 BPersVG mit § 87 Abs. 1 Nr. 6 BetrVG, dürfte die Begründung zudem für privatwirtschaftliche Unternehmen und eine mögliche Beteiligung des Betriebsrates relevant sein.

Bundesarbeitsgericht fragt den EuGH: wie ist das Verhältnis von Art. 9 Abs. 2 DSGVO zu Art. 6 Abs. 1 DSGVO und welche Faktoren spielen beim Schadensersatz nach Art. 82 DSGVO eine Rolle?

Das Bundesarbeitsgericht (BAG) legt dem EuGH mit Beschluss vom 26.08.2021, 8 AZR 253/20 (A) einige praxisrelevante Fragen vor, die nicht nur speziell den Bereich des Beschäftigtendatenschutzes betreffen.

Eine Frage des BAG ist etwa, ob die Zulässigkeit bzw. Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten davon abhängt, dass mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt ist?

Hierbei geht es um die durchaus umstrittene Frage, ob neben der Erfüllung einer Ausnahme nach Art. 9 Abs. 2 DSGVO zusätzlich ein Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO erfüllt sein muss. Rein praktisch würde dies oft zusätzlichen Prüfungs- bzw. Rechtfertigungsaufwand bedeuten.

Zwei weitere Fragen des BAG betreffen den Schadensersatzanspruch nach Art. 82 DSGVO.

Zum einen fragt das BAG, ob Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter hat und ob dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden muss? Die Antwort des EuGH auf diese Frage dürfte ebenfalls insgesamt für Schadensersatzansprüche in Zukunft relevant sein, da sie generell den Charakter dieses Anspruchs und seine Zielrichtung betrifft.

Zum anderen fragt das BAG, ob es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters ankommt? Insbesondere möchte das BAG wissen, ob ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden darf?

Bundesarbeitsgericht zur Rolle des Betriebsrates unter der DSGVO – so oder so: das Datenschutzrecht ist zu beachten.

Die Frage, wie der Betriebsrat unter der DSGVO einzuordnen ist (als eigener Verantwortlicher oder Teil des verantwortlichen Arbeitgebers), bleibt auch weiterhin höchstrichterlich ungeklärt (vgl. hierzu bereits einmal im Blog).

Das Bundesarbeitsgericht (BAG) hätte sich zu dieser Frage in einem Beschluss vom 7.5.2019 (1 ABR 53/17) äußern können. Das Gericht lies diese Frage jedoch ganz bewusst offen. Die Entscheidung des BAG ist aus der Sicht des Beschäftigtendatenschutzes aber natürlich dennoch relevant. Zudem lassen sich aus der Begründung des BAG auch weitere Schlüsse, über den Beschäftigtendatenschutz hinaus, ziehen.

Sachverhalt

Wie so oft bei Fällen des Beschäftigtendatenschutzes unter Beteiligung des Betriebsrates, ging es auch hier um das Einblicksrecht des Betriebsausschusses in Bruttoentgeltlisten.

Die Arbeitgeberin betreibt eine Klinik. Der in der Klinik errichtete Betriebsrat hat einen Betriebsausschuss gebildet. Seit einiger Zeit führte die Arbeitgeberin die Bruttoentgeltlisten der Arbeitnehmer in elektronischer Form. Die Listen enthalten die Namen der Arbeitnehmer, deren Dienstart und Unterdienstart, Angaben zum Grundgehalt, zu verschiedenen Zulagen sowie zu beständigen und unbeständigen Bezügen. Die Arbeitgeberin gewährte Betriebsratsmitgliedern nur Einsicht in eine anonymisierte Fassung dieser Listen.

Der Betriebsrat hat geltend gemacht, dem Betriebsausschuss sei Einblick in die Bruttoentgeltlisten mit den Klarnamen der Arbeitnehmer zu gewähren. Nur so ließe sich feststellen, nach welchen Grundsätzen die Arbeitgeberin – insbesondere nach der Kündigung des einschlägigen Tarifvertrags – Sonderzahlungen oder Lohnerhöhungen gewähre.

Entscheidung

Ein wichtiger Bestandteil der Entscheidung betraf natürlich das Betriebsverfassungsrecht und konkret den Anspruch des Betriebsausschusses, Einsicht in die Listen zu nehmen. Das BAG entschied, dass die Arbeitgeberin nach § 80 Abs. 2 S. 2 Halbs. 2 BetrVG verpflichtet ist, dem Betriebsausschuss Einblick in die nicht anonymisierten Bruttoentgeltlisten zu gewähren. Datenschutz- und grundrechtliche Belange stünden dem Anspruch nicht entgegen.

Mit Blick auf das Datenschutzrecht stellt das BAG fest, dass die streitbefangene Einsichtnahme zwar auf eine Verarbeitung personenbezogener Daten gerichtet sei. Diese ist aber zulässig.

Und hier begründet das BAG nun seine Entscheidung, ohne den Streit zu entscheiden, ob der Betriebsrat (bzw. sein Ausschuss) eigener Verantwortlicher (Dritter) ist. Das Gericht baut seine Prüfung hierzu wie folgt auf.

In den Listen sind Namen der Arbeitnehmer enthalten. Damit liegen personenbezogene Daten vor.

In der Gewährung von Einsicht in diese Listen durch die Arbeitgeberin gegenüber dem Betriebsausschuss liegt eine „Verarbeitung“ dieser Daten.

Das BAG verweist richtigerweise auf die Begriffsdefinitionen des DSGVO. Nach Art. 4 Nr. 2 DSGVO ist eine „Verarbeitung“ ua. jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang im Zusammenhang mit personenbezogenen Daten. Hierzu zählt deren Offenlegung durch „Übermittlung, Verbreitung oder eine andere Form der Bereitstellung“,

also die gezielte Kenntnisgabe von Daten an einen Empfänger, der – was seinerseits aus Art. 4 Nr. 9 DSGVO folge – kein Dritter sein muss.

Betriebsrat ist auf jeden Fall „Empfänger“

Im Grunde befasst sich das BAG hier mit der zu Beginn der Anwendbarkeit (und zum Teil auch noch jetzt) diskutierten Frage, ob denn nicht die Weitergabe von Daten an einen Auftragsverarbeiter, der auch nur „Empfänger“ ist, eine Verarbeitung darstellt, für die eine Rechtsgrundlage nach Art. 6 DSGVO vorliegen muss. Hierzu hatte ich damals bereits im Blog geschrieben.

Genau diese Ansicht vertritt das BAG, jedoch natürlich nicht in Bezug auf einen Auftragsverarbeiter, sondern in Bezug auf den Betriebsrat als „Empfänger“ (Art. 4 Nr. 9 DSGVO). Das BAG geht davon aus, dass Offenlegung der Daten an den Betriebsrat eine Datenverarbeitung darstellt, unabhängig (!) davon, ob dieser nun „Dritter“ oder „Empfänger“ im Sinne der DSGVO ist. Hierzu verweist das BAG auch auf das alte BDSG, welches eine rechtfertigungsbedürftige Übermittlung nur bei einer Weitergabe an einen Dritten annahm.

Damit ist es für die Annahme einer Datenverarbeitung – anders als bei § 3 Abs. 4 Satz 2 Nr. 3 BDSG in seiner vom 28. August 2002 bis zum 24. Mai 2018 geltenden Fassung (aF), wonach es sich nur bei der Bekanntgabe von Daten gegenüber Dritten um eine Datenübermittlung gehandelt hat – nicht ausschlaggebend, ob der Betriebsrat Dritter iSv. Art. 4 Nr. 10 DSGVO ist.

Und mit dieser Begründung muss das BAG in der konkreten Frage der Offenlegung von Daten auch nicht mehr entscheiden, ob der Betriebsrat „Dritter“ ist. Denn für das Vorliegen einer erlaubnispflichten Übermittlung ist dies egal.

Entscheidungsrelevant kann diese Frage natürlich in Zukunft dann werden, wenn es nicht allein um die Weitergabe von Daten geht, sondern um weitere DSGVO-Pflichten des Betriebsrates. Zum Beispiel, ob er selbst ein Verzeichnis der Verarbeitungstätigkeiten führen muss oder einen eigenen Datenschutzbeauftragten zu bestellen hat. Dann müsste entschieden werden, ob der Betriebsrat eigener Verantwortlicher ist.

Für den Betriebsrat gilt die DSGVO

Im weiteren Verlauf des Beschlusses geht des BAG dann noch einmal auf die umstrittene Frage der Einordnung des Betriebsrates ein.

Im Rahmen der Prüfung der Erforderlichkeit nach § 26 Abs. 1 BDSG befasst sich das BAG noch mit dem, nicht mehr ausdrücklich geregelten „Datengeheimnis“. Völlig zurecht stellt das BAG zunächst klar, dass § 53 BDSG hier natürlich nicht einschlägig ist (ich kann gar nicht sagen, wie oft ich diese Norm als Grundlage des Datengeheimnisses schon in reinen privatwirtschaftlichen Konstellationen genannt bekommen habe).

Diese Norm ist Bestandteil des Dritten Teils des BDSG. Sie beruht auf der Datenschutzrichtlinie für Polizei und Justiz – Richtlinie (EU) 2016/680 – und gilt ausschließlich, wenn der Anwendungsbereich gemäß § 45 BDSG eröffnet ist.

Dies ist hier nicht der Fall.

Danach kommt aber eine wichtige Feststellung des BAG. Denn nur, weil das Datengeheimnis so explizit nicht mehr geregelt ist, heißt dies nicht, dass es datenschutzrechtliche schwarze Löcher in Unternehmen geben darf.

Der Betriebsrat hat seinerseits bei einer Datenverarbeitung – und so auch bei der Kenntnisnahme personenbezogener Daten im Zusammenhang mit dem Einblicksrecht in Bruttoentgeltlisten – die Datenschutzbestimmungen einzuhalten.

Und hier verweist das BAG dann erneut auf den Streit zur Einordnung des Betriebsrates, lässt die Frage aber offen. Denn die Bindung des Betriebsrates an das Datenschutzrecht

gilt unabhängig davon, ob er iSv. Art. 4 Nr. 7 DSGVO Teil der verantwortlichen Stelle (so zB Bonanni/Niklas ArbRB 2018, 371; Pötters in Gola DS-GVO 2. Aufl. Art. 88 Rn. 38; Gola in Gola DS-GVO 2. Aufl. Art. 4 Rn. 56; zur Datenschutzrechtslage nach dem BDSG aF vgl. BAG 7. Februar 2012 – 1 ABR 46/10 – Rn. 43 mwN, BAGE 140, 350) oder gar Verantwortlicher (so zB Kurzböck/Weinbeck BB 2018, 1652, 1655; Kleinebrink DB 2018, 2566; Wybitul NZA 2017, 413 f.) ist.

Mithin geht das BAG davon aus, dass, wenn die Mitglieder des Betriebsrates mit personenbezogenen Daten umgehen, selbstverständlich die Vorgaben der DSGVO und des BDSG einzuhalten sind. Ob der Betriebsrat hierfür selbst Verantwortlicher ist oder aber als Teil des Arbeitgebers Adressat datenschutzrechtlicher Pflichten ist, lässt das BAG offen.

Erlaubnistatbestand?

Zum Schluss stellt sich natürlich noch die Frage, welcher Erlaubnistatbestand für die Einsichtnahme in Betracht kommt? Präziser müsste man eigentlich untergliedern: für die Offenlegung ggü. dem Betriebsausschuss durch den Arbeitgeber und für die Einsichtnahme durch den Betriebsausschuss selbst. Und diesbezüglich muss man leider sagen, dass die Begründung des BAG nicht immer klar zwischen diesen Verarbeitungsschritten trennt.

In Rz. 33 stellt das BAG etwa auf „Gewährung von Einsicht in diese Listen durch die Arbeitgeberin gegenüber dem Betriebsausschuss“ ab und ordnet dies (richtigerweise) als Verarbeitung ein. In Rz. 34 stellt das BAG dann aber eher auf das Einblicksrecht (also auf die Sichtweise des Betriebsrates ab). „Damit ist das erstrebte Einblicksrecht eine „nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind“ iSv. Art. 2 Abs. 1 DSGVO“ oder Rz. 35: „Die mit der Berechtigung des § 80 Abs. 2 Satz 2 Halbs. 2 BetrVG verbundene Verarbeitung personenbezogener Daten ist für Zwecke des Beschäftigungsverhältnisses nach § 26 BDSG erlaubt“.

Es scheint aber so, dass das BAG die Verarbeitung und den dafür erforderlichen Erlaubnistatbestand (§ 26 Abs. 1 S. 1 BDSG) eher aus Sicht des Arbeitgebers prüft, der mit der Offenlegung der Listen eben auch einen betriebsverfassungsrechtlichen Anspruch des Betriebsrates erfüllt und damit einer Pflicht nachkommt (Rz. 42: „Bei einer auf Beschäftigtendaten bezogenen datenverarbeitenden Maßnahme des Arbeitgebers…“; Rz. 43: „Steht dem Betriebsrat ein Anspruch nach § 80 Abs. 2 Satz 2 Halbs. 2 BetrVG zu, ist die von § 26 Abs. 1 Satz 1 BDSG verlangte Erforderlichkeit einer damit verbundenen Datenverarbeitung gegeben. Sie folgt aus der Erfüllung eines kollektivrechtlich bestehenden Anspruchs“ und Rz. 44: „Auch beim Einblicksrecht in Bruttoentgeltlisten folgt die Rechtfertigung aus der inhaltlichen Ausgestaltung der entsprechenden kollektivrechtlichen Verpflichtung des Arbeitgebers“).

§ 26 BDSG als zulässige Spezifizierung nach Art. 88 DSGVO

Zum Schluss stellt des BAG auch noch fest, dass der deutsche Gesetzgeber mit § 26 BDSG von der Öffnungsklausel des Art. 88 DSGVO in zulässiger Weise Gebrauch gemacht hat. Ein Vorabentscheidungsersuchen an den EuGH sei daher nicht erforderlich. Damit stellt das BAG gleichzeitig auch fest, dass der Regelung des Art. 88 DSGVO und der übrigen Vorgaben der DSGVO im Bereich Beschäftigtendatenschutz allgemein keine kompetenziellen Schranken entgegenstehen (und lehnt eine andere Ansicht in der Literatur ab).

Bundesarbeitsgericht: Sichtung und Auswertung von Dateien auf einem Dienstrechner ist datenschutzrechtlich auch ohne konkreten Verdacht zulässig

Das Bundesarbeitsgericht hat sich wieder einmal mit der Frage der datenschutzrechtlichen Zulässigkeit einer Auswertung von Dienstgeräten und dort gespeicherten Dateien im Rahmen einer Kündigungsschutzklage befasst. Mit Urteil vom 31.01.2019 (2 AZR 426/18) entschied das BAG, dass die Einsichtnahme in auf einem Dienstrechner des Arbeitnehmers gespeicherte und nicht als „privat“ gekennzeichnete Dateien nicht zwingend einen durch Tatsachen begründeten Verdacht einer Pflichtverletzung voraussetzt und die in diesem Zuge erfolgte Datenverarbeitung zulässig war.

Relevant dürfte an dieser Entscheidung vor allem sein, dass das BAG weniger intensiv in das allgemeine Persönlichkeitsrecht des Arbeitnehmers eingreifende Datenverarbeitungen auch ohne Vorliegen eines durch Tatsachen begründeten Anfangsverdachts gegen den Arbeitnehmer nach § 32 BDSG aF als zulässig erachtet. Zudem stellt das BAG für diese Maßnahmen der Sichtung von Dateien und für die datenschutzrechtlich gebotene Verhältnismäßigkeitsprüfung konkrete Anforderungen auf.

Sachverhalt

Die beklagte Arbeitgeberin produziert Kraftfahrzeuge und der als schwerbehinderter Mensch anerkannte Kläger war seit 1996 bei ihr beschäftigt. Die Beklagte stellte ihm einen Pkw nebst Tankkarte auch zur privaten Nutzung zur Verfügung. Der Kraftstofftank des Wagens wies nach Angaben der Beklagten als Herstellerin ein Volumen von 93 Litern auf.

Im Jahr 2013 eröffneten Mitarbeiter der internen Revision dem Kläger, dass er verdächtigt werde, Inhalte eines Audit-Berichts unerlaubt an Dritte weitergegeben zu haben. Deshalb solle sein Dienst-Laptop untersucht werden. Der Kläger gab den Rechner heraus, nannte seine Passwörter und erklärte, kooperieren zu wollen. Kurze Zeit später wandte er sich noch einmal an die interne Revision und teilte mit, es befänden sich einige, von ihm näher bezeichnete private Daten auf dem PC.

Die Beklagte ließ eine Kopie der Festplatte des Rechners computerforensisch begutachten. In einem vom Kläger angelegten Ordner „DW“ befand sich die Datei „Tankbelege.xls“. Sie enthielt eine Aufstellung über die vom Kläger mit der Tankkarte durchgeführten Betankungen. Aus den dort erfassten Kraftstoffmengen, den Tankdaten und den von ihr anschließend recherchierten Betankungsorten ergab sich aus Sicht der Beklagten zumindest der dringende Verdacht, der Kläger habe auf ihre Kosten nicht nur sein Dienstfahrzeug betankt. Es erfolgten mehrere Formen von Kündigungen, die zum Teil für unwirksam erklärt wurden (u.a. mangels Zustimmung des Integrationsamts). Zuletzt stand jedoch eine Kündigung aus Dezember 2016 im Raum.

In dem hier entschiedenen Fall ging es am Ende noch um die Kündigungsschutzklage des Arbeitnehmers. Seiner Ansicht nach dürften die Ergebnisse der Untersuchung seines Dienstrechners nicht verwertet werden. Die Analyse sei „ins Blaue hinein“ erfolgt und er sei – insoweit unstreitig – nicht zu der Auswertung hinzugezogen worden. Die Beklagte habe den Betriebsrat nicht ordnungsgemäß angehört und die gesetzliche Kündigungsfrist von sieben Monaten zum Monatsende nicht gewahrt.

Entscheidung

Das BAG wies die Klage im Ergebnis als unbegründet ab.

Die datenschutzrechtliche Relevanz solcher Entscheidungen knüpft eigentlich immer an die Frage, ob Erkenntnisse aus einer Auswertung (=Datenverarbeitung) von Mitarbeiterdaten für die Kündigung genutzt werden durften.

Der Senat verweist hierzu auf die gefestigte Senatsrechtsprechung, wonach in einem Kündigungsrechtsstreit jedenfalls dann kein Verwertungsverbot zugunsten des Arbeitnehmers eingreift, wenn der Arbeitgeber die betreffende Erkenntnis oder das fragliche Beweismittel im Einklang mit den einschlägigen datenschutzrechtlichen Vorschriften erlangt und weiterverwandt hat

So liegt es im Streitfall. Die Einsichtnahme in die Datei „Tankbelege.xls“ sowie die weitere Verarbeitung und Nutzung der aus ihr gewonnenen Erkenntnisse durch die Beklagte waren nach § 32 Abs. 1 S. 1 BDSG in der bis zum 24. Mai 2018 geltenden Fassung (im Folgenden BDSG aF) zulässig.

Sodann befasst sich der Senat mit den Tatbestandsmerkmalen des § 32 Abs. 1 S. 1 BDSG aF. Wie auch im neuen § 26 Abs. 1 BDSG dürfen Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses u.a. dann verarbeitet werden, wenn dies für dessen Durchführung oder Beendigung erforderlich ist.

Hierzu der Senat:

Zur Durchführung gehört die Kontrolle, ob der Arbeitnehmer seinen Pflichten nachkommt, zur Beendigung iSd. Kündigungsvorbereitung die Aufdeckung einer Pflichtverletzung, die die Kündigung des Arbeitsverhältnisses rechtfertigen kann.

Sofern nach dieser Vorgabe zulässig erhobene Daten den Verdacht einer solchen Pflichtverletzung begründen, dürfen sie für die Zwecke und unter den Voraussetzungen des § 32 Abs. 1 S. 1 BDSG aF auch verarbeitet und genutzt werden.

Der Begriff der Beendigung umfasst dabei die Abwicklung eines Beschäftigungsverhältnisses. Der Arbeitgeber darf deshalb alle Daten speichern und verwenden, die er benötigt, um die ihm obliegende Darlegungs- und Beweislast in einem potenziellen Kündigungsschutzprozess zu erfüllen.

Zwar stützt das BAG seine Entscheidung natürlich noch auf § 32 BDSG aF. Jedoch weist der Senat auch darauf hin, dass seiner Auffassung nach ein anderes Ergebnis auch nicht bei Anwendung der Vorgaben des jetzt geltenden § 26 BDSG zu erwarten wäre.

Die Verwertung der von der Beklagten in zulässiger Weise ermittelten Inhalte der Datei „Tankbelege.xls“ im vorliegenden Rechtsstreit ist nach Maßgabe der DS-GVO und des BDSG in der seit dem 25. Mai 2018 geltenden Fassung ebenfalls rechtmäßig.

Nachdem der Senat allgemein die Vorgaben für die Erhebung und danach folgende Verwertung der Daten abgesteckt hat, macht er sich an die eigene inhaltliche Prüfung. Entscheidendes Merkmal ist hierbei die „Erforderlichkeit“ der Datenverarbeitung. Nach ständiger Rechtsprechung des BAG bedeutet „Erforderlichkeit“ im Kontext des § 32 BDSG aF (und damit auch im Rahmen des § 26 BDSG) „Verhältnismüßigkeit“.

Es hat eine „volle“ Verhältnismäßigkeitsprüfung zu erfolgen. Die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten müssen geeignet, erforderlich und unter Berücksichtigung der gewährleisteten Freiheitsrechte angemessen sein, um den erstrebten Zweck zu erreichen.

Die Verhältnismäßigkeit im engeren Sinne (Angemessenheit) ist gewahrt, wenn die Schwere des Eingriffs bei einer Gesamtabwägung nicht außer Verhältnis zu dem Gewicht der ihn rechtfertigenden Gründe steht.

Interessant ist hierbei, dass das BAG im Rahmen der erforderlichen Interessenabwägung ausdrücklich darauf Bezug nimmt, dass eine „berechtigte Privatheitserwartung“ des Betroffenen einen beachtlichen Faktor darstellt. Hierzu verweist der Senat auch auf Erwägungsgrund 47 DSGVO („vernünftige Erwartungen“).

Nach Ansicht des BAG kann diese Privatheitserwartung des Arbeitnehmers selbst dann zugunsten seines Nichtverarbeitungsinteresses den Ausschlag geben, wenn das Verarbeitungsinteresse des Arbeitgebers hoch ist.

So dürfen Arbeitnehmer grundsätzlich erwarten, dass besonders eingriffsintensive Maßnahmen nicht ohne einen durch Tatsachen begründeten Verdacht einer Straftat oder schweren Pflichtverletzung ergriffen werden und insbesondere nicht „ins Blaue hinein“ oder wegen des Verdachts bloß geringfügiger Verstöße eine heimliche Überwachung und ggf. „Verdinglichung“ von ihnen gezeigter Verhaltensweisen erfolgt.

Meines Erachtens sind diese Feststellungen des Senats vor allem mit Blick auf die zukünftige Anwendung des § 26 BDSG von besonderer Relevanz. Denn der Senat äußert sich ganz bewusst zu dem Merkmal der Privatheitserwartung der Arbeitnehmer, welches mit der DSGVO auch im Rahmen des Erlaubnistatbestandes nach Art 6 Abs. 1 f) DSGVO (Interessenabwägung) eine entscheidende Rolle spielt.

Exkurs: dass es in der Literatur Streit darüber gibt, ob Mitarbeiterdaten auf der Grundlage von Art. 6 Abs. 1 lit. f) DSGVO verarbeitet werden können, ist mir bekannt. Die Auffassung, die einen Rückgriff neben § 26 BDSG ablehnt, ist meines Erachtens aber europarechtlich nicht haltbar. Sieht auch das BAG so, vgl. z. B. Urt. v. 23.8.2018 – 2 AZR 133/18)

Besonders relevant sind danach die Aussagen des Senats zur Einordnung der Privatheitsinteressen des Arbeitnehmers im konkreten Fall. Danach können weniger intensiv in das allgemeine Persönlichkeitsrecht des Arbeitnehmers eingreifende Datenverarbeitungen ohne Vorliegen eines durch Tatsachen begründeten Anfangsverdachts – zumal einer Straftat oder anderen schweren Pflichtverletzung – erlaubt sein. Das gilt vor allem für nach abstrakten Kriterien durchgeführte, keinen Arbeitnehmer besonders unter Verdacht stellende offene Überwachungsmaßnahmen, die der Verhinderung von Pflichtverletzungen dienen.

Diese Voraussetzungen können nach Ansicht des Senats auch erfüllt sein,

wenn der Arbeitgeber aus einem nicht willkürlichen Anlass prüfen möchte, ob der Arbeitnehmer seine vertraglichen Pflichten vorsätzlich verletzt hat, und er – der Arbeitgeber – dazu auf einem Dienstrechner gespeicherte Dateien einsieht, die nicht ausdrücklich als „privat“ gekennzeichnet oder doch offenkundig „privater“ Natur sind.

Voraussetzung ist jedoch Transparenz gegenüber dem Abreitnehmer. Die Maßnahme muss offen erfolgen und der Arbeitnehmer muss im Vorfeld darauf hingewiesen worden sein, welche legitimen Gründe eine Einsichtnahme in – vermeintlich -dienstliche Ordner und Dateien erfordern können, und dass er Ordner und Dateien durch eine Kennzeichnung als „privat“ von einer Einsichtnahme ohne „qualifizierten“ Anlass ausschließen kann.

Der Arbeitnehmer muss dann billigerweise mit einem jederzeitigen Zugriff auf die vermeintlich rein dienstlichen Daten rechnen. Zugleich kann er „private“ Daten in einen gesicherten Bereich verbringen.

Vorliegend geht der Senat davon aus, dass die Beklagte aus einem nicht willkürlichen Anlass ein legitimes Ziel verfolgt. Sie wollte letztlich prüfen, ob der Kläger vorsätzlich seine arbeitsvertraglichen Pflichten verletzt hat. Interessant ist auch die Ansicht zur Frage, ob nicht ein milderes Mittel vorhanden war. Hier könnte man etwa daran denken, eine Einsichtnahme in die Datei unter Heranziehung eines Mitglieds des Betriebsrats oder des Datenschutzbeauftragten als milderes Mittel zu bevorzugen. Dies lehnt der Senat jedoch ab.

Dadurch hätte nicht die Möglichkeit bestanden, die Datenerhebung ganz abzuwenden oder doch auf die Art und Weise ihrer Durchführung „abschwächenden“ Einfluss zu nehmen.

Zuletzt ist natürlich noch relevant, dass die Sichtung des Dienstrechners eigentlich ohne konkreten Anfangsverdacht erfolgte. Zudem wurde auch nicht festgestellt, ob die Arbeitgeberin im Vorfeld des Verlangens, den Dienstrechner herauszugeben, gegenüber dem Kläger die Gründe (allgemein) bezeichnet hatte, die eine Einsichtnahme in dienstliche Ordner und Dateien erfordern können und ob sie ihn auf die Möglichkeit aufmerksam gemacht hat, Ordner und Dateien durch eine Kennzeichnung als „privat“ von einer Einsichtnahme ohne „qualifizierten“ Anlass auszuschließen.

Dennoch geht der Senat von der datenschutzrechtlichen Zulässigkeit der Verwendung der Daten aus der Excelliste aus.

stellte sich die von der Beklagten durchgeführte Maßnahme, was die hier allein interessierende Einsichtnahme in nicht ausdrücklich als „privat“ gekennzeichnete oder doch offenkundig als „privat“ zu erkennende Dateien anbelangt, nicht als so eingriffsintensiv dar, dass sich das Nichtverarbeitungsinteresse des Klägers in einer Abwägung gegen das Verarbeitungsinteresse der Beklagten durchsetzen könnte. Die Untersuchung wurde offen durchgeführt. Ihre mögliche Reichweite war klar. Der Kläger wusste, dass die gesamte Festplatte seines Dienst-Laptops einer computerforensischen Analyse unterzogen werden sollte.

Der Senat verdeutlich mit dem Urteil, dass interne Maßnahmen zur Kontrolle der Pflichteneinhaltung im Arbeitsverhältnis datenschutzrechtlich nicht unmöglich, ja vielmehr praktikabel umsetzbar sind. Wichtig ist stets, die Verhältnismäßigkeit der Maßnahme zu beachten. Ein ganz entscheidender Faktor hierbei ist, wie stest im Datenschutzrecht, die Transparenz gegenüber den Betroffenen.