Update Datenschutz Nr. 70
Meldungen zu Datenschutzverstößen nur mit Zustimmung des Betriebsrats?
Auch wenn die Datenschutzkonferenz eine Vielzahl an Auslegungshilfen bereitstellt, sorgen letzten Endes die Gerichte für die verbindliche Auslegung der Bestimmungen der DSGVO. Aktuell tun sich in dieser Hinsicht insbesondere die Arbeitsgerichte hervor. So auch in einer aktuellen Entscheidung des LAG Schleswig-Holstein.
LAG Schleswig-Holstein, Beschluss vom 6. August 2019 – 2 TaBV 9/19
Nach diesem Beschluss hat der Betriebsrat bei der Festlegung mitzubestimmen, wie und an wen in welcher Form Arbeitnehmer eine von ihnen festgestellte Datenpanne im Sinne der DSGVO innerhalb des Unternehmens zu melden haben. Für die Wahrnehmung dieses Mitbestimmungsrechtes ist der lokale Betriebsrat originär zuständig.
Sachverhalt
Ein Callcenter-Unternehmen mit mehreren Betrieben verfügt über lokale Betriebsräte und einen Gesamtbetriebsrat. Die Arbeitgeberin verteilte eine Arbeitsanweisung im Hinblick auf die Artikel 33 und 34 der DSGVO, um ein Meldesystem im Hinblick auf etwaige Datenpannen und deren Behandlung entsprechend der Vorgaben der DSGVO zu installieren. Danach wurden die Mitarbeiter unter anderem angewiesen, ein standardisiertes Meldeverfahren zu verwenden, indem an eine unternehmenszentrale E-Mail-Adresse eine E-Mail mit im Einzelnen vorgegebenen Mindestangaben zu versenden war. Überdies sah die Anweisung vor, dass die eine solche Datenpanne meldende Person sich während des gesamten Prozesses der Aufklärung kurzfristig erreichbar halten müsse und zur weiteren Mitwirkung und Unterstützung der zentralen Maßnahmen verpflichtet sei. Überdies sollten Abwesenheitszeiten bei dem zentralen Datenschutz-Einsatzteam vorab angemeldet werden. Das sind aus DSGVO-Perspektive übliche und auch hilfreiche Vorgaben für das Meldeverfahren. Ein lokaler Betriebsrat war der Auffassung, dass seine Mitbestimmungsrechte durch diese Arbeitsanweisung verletzt würden und leitete ein arbeitsgerichtliches Beschlussverfahren ein.
Entscheidung
Sowohl das Arbeitsgericht Kiel als auch das LAG Schleswig-Holstein bejahten ein Mitbestimmungsrecht des Betriebsrates gemäß § 87 Abs. 1 Nr. 1 BetrVG. Dieses Mitbestimmungsrecht besteht nach ständiger Rechtsprechung des BAG (vgl. nur BAG, Beschluss vom 11. Juni 2002 – 1 ABR 46/01) nur dann, wenn eine arbeitgeberseitige „Maßnahme auf die Gestaltung des kollektiven Miteinanders oder die Gewährleistung und Aufrechterhaltung der vorgegebenen Ordnung des Betriebes zielt.“ Vorgaben zum Arbeitsverhalten sind hingegen mitbestimmungsfrei. Ein Arbeitsverhalten liegt immer dann vor, wenn der Arbeitgeber innerhalb seines arbeitsvertraglichen Weisungsrechtes näher bestimmt, welche Arbeiten vom Arbeitnehmer wie ausgeführt werden sollen. Nach Auffassung des LAG Schleswig-Holstein ist die Meldung einer Datenpanne keine arbeitsvertragliche Pflicht des Arbeitnehmers; aufgrund der Einschränkung des Meldeverfahrens liege eine betriebliche Verhaltensregelung vor, die die Entscheidungsfreiheit der Arbeitnehmer einschränke. Das LAG Schleswig-Holstein macht zudem deutlich, dass nicht erkennbar sei, warum diese Einengung auf den Versand einer E-Mail erforderlich sei; auch eine mündliche Meldung sei doch ausreichend.
Überdies, so das LAG Schleswig-Holstein, liege die Mitbestimmung in den Händen des lokalen Betriebsrates. Es sei kein hinreichender Grund erkennbar, warum hier ein Fall der objektiven oder subjektiven Unmöglichkeit vorliege, der die Mitbestimmung originär in die Hände des Gesamtbetriebsrates lege.
Fazit
Der Arbeitgeber ist nach Art. 24 verpflichtet, effiziente technische und organisatorische DSGVO-Maßnahmen zur Ermöglichung der Meldung nach Artt. 33, 34 DSGVO zu treffen. Die Rechenschafts- und Dokumentationspflicht gemäß Art. 5 Abs. 2 DSGVO verpflichtet ihn, die getroffenen Maßnahmen nachweisen zu können. Dabei müssen sich die Prozesse an marktüblichen Standards orientieren, um sich nicht der Kritik der Datenschutzaufsichtsbehörden auszusetzen. Die Entscheidung des LAG Schleswig-Holstein setzt sich mit diesen Verpflichtungen aus der DSGVO nicht auseinander. Zudem verkennt sie nach unserer Einschätzung die ständige Rechtsprechung des BAG. Zum einen ist die Bestimmung eines Meldeverfahrens gemäß DSGVO eine arbeitsvertragliche Nebenpflicht eines jeden Arbeitnehmers und fällt daher in das mitbestimmungsfreie Arbeitsverhalten der Arbeitnehmer. Selbst wenn man diese Auffassung nicht teilen sollte, müssten in jedem Fall die Voraussetzungen des „Ordnungsverhaltens“ positiv geprüft werden. Nach der zutreffenden Rechtsprechung des BAG besteht zwischen Arbeits- und Ordnungsverhalten nämlich kein Entweder-oder-Verhältnis. Das BAG hat hingegen auch schon Fälle anerkannt, in denen weder Arbeits-, noch Ordnungsverhalten betroffen waren (sog. sui generis-Anordnungen – BAG, Beschluss vom 14. April 2014 – 1 ABR 85/12). Es müsse positiv festgestellt werden, dass eine Maßnahme die betriebliche Ordnung betreffe. Eine solche Subsumtion ist der Entscheidung des LAG Schleswig-Holstein nicht zu entnehmen. Die bloße kollektive Vorgabe einer Arbeitshandlung bzw. eines Arbeitsweges stellt noch keine Maßnahme der betrieblichen Ordnung dar. Wenn der Arbeitgeber festlegt, welche Arbeitnehmer an wen zu berichten hat, ist dies auch keine Frage des betrieblichen Zusammenlebens, sondern eine mitbestimmungsfreie Frage der Arbeitsorganisation, die sich zwingend an den Anforderungen der DSGVO orientieren muss. Insofern überzeugt die Entscheidung des LAG Schleswig-Holstein nicht.
Es bleibt abzuwarten, ob das BAG die Gelegenheit bekommt, die Entscheidung des LAG Schleswig-Holstein zu begradigen. Sollte dies nicht der Fall sein, könnten die Auswirkungen weitreichend sein. Ansonsten wäre die datenschutzrechtliche Compliance des Arbeitgebers von den Findungen der Eingangsstelle abhängig und der von der DSGVO bezweckte Schutz der Betroffenen unter Umständen empfindlich eingeschränkt.