Nutzung der IT-Infrastruktur des Arbeitgebers durch den Betriebsrat

Die Nutzung der IT-Infrastruktur des Arbeitgebers durch den Betriebsrat ist ein Thema, das datenschutzrechtliche Herausforderungen mit sich bringt. Im Rahmen einer Beschwerde hat sich der Hamburger Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) in seinem 32. Tätigkeitsbericht 2023 mit der Frage befasst, ob und unter welchen Voraussetzungen die Nutzung der IT-Infrastruktur des Arbeitgebers durch den Betriebsrat mit dem Datenschutzrecht vereinbar ist.

Rechtlicher Hintergrund und Herausforderungen

Gemäß § 2 Abs. 1 Betriebsverfassungsgesetz (BetrVG) arbeiten Betriebsrat und Arbeitgeber vertrauensvoll zusammen. Laut § 79a Satz 3 BetrVG unterstützen sie sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften. Allerdings verfolgen beide Parteien oftmals gegensätzliche Interessen. Der Betriebsrat ist ein unabhängiges Gremium, das die Interessen der Beschäftigten im Unternehmen vertritt und dabei regelmäßig Kenntnisse über Informationen hat, die auch für den Arbeitgeber von großem Interesse sein können. Diese sind vor allem bei arbeitsrechtlichen Streitigkeiten für den Arbeitgeber interessant. Der Schutz der Daten auch und insbesondere gegenüber dem Arbeitgeber ist daher besonders wichtig.

Betriebsratsmitglieder nutzen oftmals die IT-Ausstattung (z. B. Netzwerk, Speicherplatz, E-Mailkonten) des Arbeitgebers, da kein Rechtsanspruch auf eine eigene IT-Ausstattung besteht (siehe auch BAG, Urteil vom 20.04.2016, Az. 7 ABR 50/14). Diese Nutzung muss im Einklang mit datenschutzrechtlichen Bestimmungen stehen. Eine klare Trennung zwischen den Daten des Arbeitgebers und den Daten des Betriebsrats ist unerlässlich.

Es gab eine Beschwerde…

Die Hamburgische Aufsichtsbehörde für den Datenschutz (HmbBfDI) prüfte die Beschwerde eines Mitarbeiters, dessen personenbezogene Daten durch den Betriebsrat verarbeitet wurden. Der Beschwerdeführer gab an, dass seine Daten nicht ausreichend vor dem Zugriff des Arbeitgebers geschützt seien.

Die vom Betriebsrat verarbeiteten Daten waren auf einem vom Arbeitgeber bereitgestellten Netzwerklaufwerk gespeichert. Für dieses Laufwerk wurde keine durch den Betriebsrat kontrollierte Verschlüsselung genutzt. Das Zugriffsrecht auf die Daten lag ausschließlich bei den Betriebsratsmitgliedern. Die administrativen Rechte lagen ausschließlich bei den für die IT-Administration und -Verwaltung zuständigen Personen. Der Arbeitgeber hatte keine direkte Zugriffsmöglichkeit. Ferner hatten sich Betriebsrat und Arbeitgeber in einem arbeitsgerichtlichen Vergleich geeinigt, dass sich der Arbeitgeber die administrativen Rechte bis zum Ablauf einer festgelegten Frist nicht einräumen lassen wird. Die Vereinbarung umfasste unter anderem, dass die für die IT verantwortlichen Beschäftigten nicht angewiesen werden dürfen, Zugang für den Arbeitgeber zu den Daten des Betriebsrats herzustellen.

… und der HmbBfDI sieht’s pragmatisch

Der HmbBfDI kam zu dem Ergebnis, dass kein datenschutzrechtlicher Verstoß vorliege, da bei den technischen und organisatorischen Maßnahmen auch die bisherige arbeitsgerichtliche Rechtsprechung zur vertrauensvollen Zusammenarbeit zu berücksichtigen sei. Ferner sei zu berücksichtigen, dass der Arbeitgeber gemäß § 79a Satz 2 BetrVG datenschutzrechtlich auch für die Verarbeitung der Daten des Betriebsrats verantwortlich ist. Der HmbBfDI sieht eine von einem Betriebsrat kontrollierte Verschlüsselung oder gar eine separate IT-Infrastruktur nicht in jedem Falle als zwingend erforderlich an, weist aber auch darauf hin, dass solchen Maßnahmen bei Realisierbarkeit der Vorzug zu gewähren sei. Dies erhöht die Vertraulichkeit und bietet gleichzeitig einen Schutz des Arbeitgebers davor, dass der Ausfall der administrativ tätigen Personen mit dem Verlust des administrativen Zugriffs des Arbeitgebers (in Form der IT-Administrator*innen) einhergeht. Auch in der Literatur wird teilweise die Auffassung vertreten, dass ein Anspruch des Betriebsrats gegenüber dem Arbeitgeber auf Zurverfügungstellung oder Finanzierung einer Verschlüsselungssoftware bestünde.

Empfehlungen

Auch wenn in diesem konkreten Fall der Beschwerde durch den HmbBfDI nicht stattgegeben wurde, ist es unerlässlich, klare Regelungen zu schaffen, die den datenschutzkonformen Einsatz der IT-Infrastruktur durch den Betriebsrat gewährleisten und den Arbeitgeber nicht vor das Problem stellen, dass administrative Rechte verloren gehen könnten. Dabei sollten folgende Aspekte berücksichtigt werden:

  • Datenschutzrechtliche Verantwortung und Vertraulichkeit: Auch wenn der Arbeitgeber für die Verarbeitungen des Betriebsrats datenschutzrechtlich verantwortlich ist, hat ein Betriebsrat sicherzustellen, dass alle personenbezogenen Daten, die durch ihn verarbeitet werden, gemäß den Vorgaben der Datenschutz-Grundverordnung (DSGVO) behandelt werden und nicht unbefugt an Dritte weitergegeben werden (siehe auch § 79a BetrVG). Dies erfordert besondere Schutzmaßnahmen, insbesondere bei der elektronischen Kommunikation.
  • Technische Schutzmaßnahmen: Der Einsatz technischer Schutzmaßnahmen wie Verschlüsselung, Firewalls und sichere Zugriffsmechanismen ist notwendig, um die Vertraulichkeit und Integrität der Daten zu gewährleisten. Für die E-Mail-Kommunikation könnte beispielsweise eine durchgängige PGP-Verschlüsselung hilfreich sein. Diese setzt aber voraus, dass alle Beteiligten sie einsetzen können und wollen. Die trotzdem verbleibenden Meta-Daten wie die Identität der den Betriebsrat kontaktierenden Beschäftigten, bleiben für die Arbeitgeber trotz Verschlüsselung zugänglich, sofern diese ihre administrativen Rechte nutzen. Daher muss eine Trennung zwischen den Daten der Arbeitgeber und den Daten der Betriebsräte gewährleistet sein. Dies kann durch technische und organisatorische Maßnahmen wie getrennte IT-Systeme oder auch klar definierte Zugriffsrechte erreicht werden.
  • Vereinbarungen zur Nutzung der IT-Infrastruktur: Klare Vereinbarungen zwischen Arbeitgeber und Betriebsrat sind in jedem Fall erforderlich. Diese sollten detaillierte Regelungen zur Datenverarbeitung, Datensicherheit und zu den Zugriffsrechten enthalten.
  • Schulungen und Sensibilisierung: Regelmäßige Schulungen und Sensibilisierungsmaßnahmen für die Betriebsratsmitglieder und die IT-Verantwortlichen im Unternehmen fördern das Bewusstsein für datenschutzrechtliche Themen und helfen, potenzielle Risiken zu minimieren.
  • Regelmäßige Überprüfung und Anpassung: Datenschutzregelungen und technische Maßnahmen sollten regelmäßig überprüft und bei Bedarf angepasst werden, um neuen Herausforderungen und Entwicklungen gerecht zu werden. Eine kontinuierliche Überprüfung und Anpassung von Datenschutzmaßnahmen sind wesentlich für die Einhaltung der DSGVO.

Fazit

Die Nutzung der IT-Infrastruktur der Arbeitgeber durch den Betriebsrat ist ein Thema, das sorgfältige Planung und klare Regelungen erfordert. Wir stehen Ihnen gerne zur Seite, um sicherzustellen, dass alle datenschutzrechtlichen Anforderungen erfüllt werden und eine vertrauensvolle Zusammenarbeit zwischen Arbeitgeber und Betriebsrat gewährleistet ist.

____________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.

Ähnliche Beiträge

Sitemap

Kontakt

Wir freuen uns über Ihr Interesse an unseren Leistungen!
Zum Kontaktformular

bITs GmbH

Datenschutz und Hinweisgebermanagement

Detmolder Straße 204
33100 Paderborn

Kostenloser Newsletter

Abonnieren Sie unseren kostenlosen, monatlich erscheinenden Newsletter mit aktuellen Informationen rund um das Thema Datenschutz. Mit dem Absenden Ihrer Daten willigen Sie ein, dass wir Ihnen den Newsletter an Ihre angegebene E-Mail Adresse senden dürfen und bestätigen, dass Sie unsere Datenschutzhinweise zur Kenntnis genommen haben. Eine Abmeldung ist jederzeit über den in jedem Newsletter zur Verfügung gestellten Link möglich.

  • © 2023 bITs GmbH, Paderborn