28.11.2019  | Update Arbeitsrecht November 2019

Mitbestimmungsrecht des Betriebsrats bei Meldeverfahren für Datenpannen nach DSGVO




zurück zur Übersicht

LAG Schleswig-Holstein, Beschluss vom 06.08.2019 – 2 TaBV 9/19

Der Betriebsrat hat mitzubestimmen bei der Festlegung, wie und an wen in welcher Form Arbeitnehmer eine von ihnen festgestellte Datenpanne im Sinne der DSGVO innerhalb des Unternehmens zu melden haben. Für die Wahrnehmung dieses Mitbestimmungsrechtes ist der lokale Betriebsrat originär zuständig. 

Sachverhalt

Ein Callcenter-Unternehmen mit mehreren Betrieben verfügt über lokale Betriebsräte und einen Gesamtbetriebsrat. Die Arbeitgeberin verteilte eine Arbeitsanweisung im Hinblick auf die Artikel 33 und 34 der DSGVO, um ein Meldesystem im Hinblick auf etwaige Datenpannen und deren Behandlung entsprechend der Vorgaben der DSGVO zu installieren. Danach wurden die Mitarbeiter unter anderem angewiesen, ein standardisiertes Meldeverfahren zu verwenden, indem an eine unternehmenszentrale E-Mail-Adresse eine E-Mail mit im Einzelnen vorgegebenen Mindestangaben zu versenden war. Überdies sah die Anweisung vor, dass die eine solche Datenpanne meldende Person sich während des gesamten Prozesses der Aufklärung kurzfristig erreichbar halten müsse und zur weiteren Mitwirkung und Unterstützung der zentralen Maßnahmen verpflichtet sei. Überdies sollten Abwesenheitszeiten bei dem zentralen Datenschutz-Einsatzteam vorab angemeldet werden. Ein lokaler Betriebsrat war der Auffassung, dass seine Mitbestimmungsrechte durch diese Arbeitsanweisung verletzt würden und leitete ein arbeitsgerichtliches Beschlussverfahren ein. 

Entscheidung

Sowohl das Arbeitsgericht Kiel als auch das LAG Schleswig-Holstein bejahten ein Mitbestimmungsrecht des Betriebsrates gemäß § 87 Abs. 1 Nr. 1 BetrVG. Dieses Mitbestimmungsrecht besteht nach ständiger Rechtsprechung des BAG (vgl. nur BAG, Beschluss vom 11.6.2002 – 1 ABR 46/01) nur dann, wenn eine arbeitgeberseitige „Maßnahme auf die Gestaltung des kollektiven Miteinanders oder die Gewährleistung und Aufrechterhaltung der vorgegebenen Ordnung des Betriebes zielt.“ Vorgaben zum Arbeitsverhalten sind hingegen mitbestimmungsfrei. Ein Arbeitsverhalten liegt immer dann vor, wenn der Arbeitgeber innerhalb seines arbeitsvertraglichen Weisungsrechtes näher bestimmt, welche Arbeiten vom Arbeitnehmer wie ausgeführt werden sollen. Nach Auffassung des LAG Schleswig-Holstein ist die Meldung einer Datenpanne keine arbeitsvertragliche Pflicht des Arbeitnehmers; aufgrund der Einschränkung des Meldeverfahrens liege eine betriebliche Verhaltensregelung vor, die die Entscheidungsfreiheit der Arbeitnehmer einschränke. Das LAG Schleswig-Holstein macht zudem deutlich, dass nicht erkennbar sei, warum diese Einengung auf den Versand einer E-Mail erforderlich sei; auch eine mündliche Meldung sei doch ausreichend.

Überdies, so das LAG Schleswig-Holstein, liege die Mitbestimmung in den Händen des lokalen Betriebsrates. Es sei kein hinreichender Grund erkennbar, warum hier ein Fall der objektiven oder subjektiven Unmöglichkeit vorliege, der die Mitbestimmung originär in die Hände des Gesamtbetriebsrates lege. 

Fazit

Die Entscheidung des LAG Schleswig-Holstein verkennt nach unserer Einschätzung die ständige Rechtsprechung des BAG. Zum einen ist die Bestimmung eines Meldeverfahrens gemäß DSGVO eine arbeitsvertragliche Nebenpflicht eines jeden Arbeitnehmers und fällt daher in das mitbestimmungsfreie Arbeitsverhalten der Arbeitnehmer. Selbst wenn man diese Auffassung nicht teilen sollte, müssten in jedem Fall die Voraussetzungen des „Ordnungsverhaltens“ positiv geprüft werden. Nach der zutreffenden Rechtsprechung des BAG besteht zwischen Arbeits- und Ordnungsverhalten nämlich kein Entweder-oder-Verhältnis. Das BAG hat hingegen auch schon Fälle anerkannt, in denen weder Arbeits-, noch Ordnungsverhalten betroffen waren (sog. sui generis-Anordnungen – BAG, Beschluss vom 14.04.2014 – 1 ABR 85/12). Es müsse positiv festgestellt werden, dass eine Maßnahme die betriebliche Ordnung betreffe. Eine solche Subsumtion ist der Entscheidung des LAG Schleswig-Holstein nicht zu entnehmen. Die bloße kollektive Vorgabe einer Arbeitshandlung bzw. eines Arbeitsweges stellt noch keine Maßnahme der betrieblichen Ordnung dar. Wenn der Arbeitgeber festlegt, welche Arbeitnehmer an wen zu berichten hat, ist dies auch keine Frage des betrieblichen Zusammenlebens, sondern eine mitbestimmungsfreie Frage der Arbeitsorganisation. Insofern überzeugt die Entscheidung des LAG Schleswig-Holstein nicht. 

Es bleibt abzuwarten, ob das BAG die Gelegenheit bekommt, die Entscheidung des LAG Schleswig-Holstein zu begradigen. Sollte dies nicht der Fall sein, könnten die Auswirkungen weitreichend sein. Letztlich ließe sich nämlich die Entscheidung des LAG Schleswig-Holstein auf jedwede Meldung eines innerbetrieblichen Unfalls (Auslaufen von Säure, Umweltgifte etc.) übertragen. Der effektive Schutz der Öffentlichkeit (Umweltschutz, Datenschutz) würde dann gefährdet durch Verhandlungen in der Einigungsstelle.

Überdies ist die lapidare Aussage des LAG Schleswig-Holsteins zu kritisieren, dass keine originäre Zuständigkeit des Gesamtbetriebsrates vorliege. Das LAG Schleswig-Holstein setzt sich damit in Widerspruch zu der ständigen Rechtsprechung des BAG, die von der originären Zuständigkeit des Konzern-/Gesamtbetriebsrates bei Compliance-Systemen ausgeht. Warum dies für Compliance-Systeme, nicht aber für Data-Compliance-Systeme gelten soll, bleibt das Geheimnis des LAG Schleswig-Holstein. Insofern bleibt nur zu hoffen, dass diese Fehlentscheidung des LAG Schleswig-Holstein vom BAG korrigiert werden wird.

Ansprechpartner

Weitere Fachbeiträge, die Sie interessieren könnten

Diese Seite verwendet Cookies. Erfahren Sie in unserer Datenschutzerklärung mehr darüber, wie wir Cookies einsetzen und wie Sie Ihre Einstellungen ändern können. OK