Zum Inhalt springen Zur Navigation springen
BAG: „Gruppenaccounts“ für Betriebsratsmitglieder zulässig

BAG: „Gruppenaccounts“ für Betriebsratsmitglieder zulässig

Das Bundesarbeitsgericht hat am 18.07.2012 (BAG Beschluss vom 18.07.2012, AZ: 7 ABR 23/11) entschieden, dass Betriebsräte einen Anspruch auf einen Internetzugang ohne Personalisierung haben.

Diesen Anspruch leitet das BAG aus § 40 Abs. 2 BetrVG her, nimmt in seiner jüngst veröffentlichen Entscheidungsbegründung auch zu den datenschutzrechtlichen Besonderheiten Stellung (Leitsatz):

Aus § 40 Abs. 2 BetrVG folgt ein Anspruch des Betriebsrates, diesem auf dem ihm zur Verfügung gestellten PC Zugang zum Internet mit einer einheitlichen Nutzeranmeldung für alle Mitglieder des Betriebsrates, und nicht mit   personalisierten Kennungen, zu eröffnen.

Datenschutzrechtliche Problematik: Eingabekontrolle

Die datenschutzrechtliche Problematik bei der Nutzung von Accounts, die verschiedenen Personen eine Anmeldung über einen einheitlichen Anmeldenamen ermöglichen, ist folgende: Nach § 9 BDSG hat der Arbeitgeber so genannte technische und organisatorische Maßnahmen zu treffen, insbesondere um die in der Anlage zu § 9 BDSG genannten Anforderungen zu gewährleisten. Zu diesen Anforderungen zählt auch die so genannte Eingabekontrolle.

Es sollte also stets systemseitig sichergestellt werden, dass nachverfolgt werden kann, wer eine unzulässige Datenverarbeitung vorgenommen hat. Bei einem persönlichen Internetaccount ist dies über den so genannten Proxyserver möglich, über den neben Datum und Uhrzeit des Zugriffs, Ziel-IP-Adresse regelmäßig auch der individuelle Benutzername nachvollzogen werden kann.

Anders ist dies bei „Gruppenaccounts“, da hier eben nicht eindeutig im System festgestellt werden, welches „Gruppenmitglied“ datenschutzrechtlich relevante Eingaben, Verarbeitungen oder Nutzungen getätigt hat.

Die Argumentation des BAG

In der erst jüngst veröffentlichen Entscheidungsbegründung führt das Gericht zu diesen datenschutzrechtlichen Aspekten aus:

Als Teil der verantwortlichen Stelle iSv. § 3 Abs. 7 BDSG ist der Betriebsrat selbst dem Datenschutz verpflichtet und hat eigenständig über Maßnahmen zu beschließen, um den Anforderungen des BDSG Rechnung zu tragen (vgl. BAG 12. August 2009 – 7 ABR 15/08 – Rn. 27 mwN, BAGE 131, 316). Aus der Eigenverantwortlichkeit des Betriebsrats folgt dessen Pflicht, ua. für die in Satz 2 Nr. 5 der Anlage zu § 9 Satz 1 BDSG vorgesehene Eingabekontrolle Sorge zu tragen und zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind. Die danach grundsätzlich gebotene individuelle Zugangsregelung zum gemeinsam genutzten Betriebsrats-PC setzt jedoch nicht zwingend einen für die Arbeitgeberin erkennbaren personalisierten Zugang zum PC voraus. Eine geeignete Eingabekontrolle lässt sich auch anders konfigurieren, etwa über Eingaben, deren persönliche Zuordnung nicht dem Arbeitgeber, sondern nur dem Betriebsrat bekannt ist (zB durch die Bezeichnungen als BR 1, BR 2, BR 3 usw.).

Fazit

Eine kreative datenschutzrechtliche Lösung des Problems, deren technische Umsetzung dann den IT-Verantwortlichen im Unternehmen „Kopfzerbrechen“ bereiten wird. Die Konsequenzen dieses Urteils und insbesondere dessen Umsetzung in der Praxis können also mit Spannung abgewartet werden.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.