Zum Inhalt springen Zur Navigation springen
Betriebsrat: Mitbestimmungsrecht & Arbeitnehmerdatenschutz

Betriebsrat: Mitbestimmungsrecht & Arbeitnehmerdatenschutz

Artikel von Dr. Datenschutz·11. März 2025

Darf der Arbeitgeber eigentlich meinen Standort während der Arbeitszeit tracken? Welche IT-Systeme erfassen möglicherweise mein Verhalten? Solche Fragen betreffen nicht nur den Datenschutz, sondern auch die Mitbestimmungsrechte des Betriebsrats. Der Betriebsrat spielt eine zentrale Rolle, wenn es darum geht, die Verarbeitung personenbezogener Daten im Arbeitsverhältnis zu kontrollieren und unzulässige Überwachungsmaßnahmen zu verhindern. Eine entscheidende gesetzliche Grundlage ist dabei § 87 Abs. 1 Nr. 6 BetrVG, der dem Betriebsrat Mitbestimmungsrechte bei der Einführung von IT-Systemen einräumt.

Die Mitbestimmung des Betriebsrats beim Datenschutz

Heutzutage werden personenbezogene Daten haufenweise erzeugt und verarbeitet. Das sind nicht nur solche Daten, die der Arbeitgeber bewusst speichert, beispielsweise in Software zur Mitarbeiterbeurteilung, oder solche, die für den Arbeitnehmer offensichtlich sind. Viele IT-Systeme erzeugen dazu im Hintergrund Daten (z. B. Zeitstempel, Anmeldezeiten, Standorte von Geräten oder die Häufigkeit der Nutzung bestimmter Programme), die grundsätzlich dazu genutzt werden könnten, das Verhalten des Beschäftigten zu überwachen. Das Mitbestimmungsrecht des Betriebsrats soll die Gefahren für den einzelnen Arbeitnehmer auf das unbedingt notwendige Maß beschränken.

Schützt der Betriebsrat vor jeglicher Überwachung?

Der Betriebsrat kann nicht jede Form der Verarbeitung von personenbezogenen Daten und der Überwachung von Arbeitnehmern verhindern. Solange die Verarbeitung der Daten rechtmäßig ist und für das Arbeitsverhältnis erforderlich bleibt (§ 26 BDSG), darf der Arbeitgeber personenbezogene Daten grundsätzlich erheben und nutzen.
Das Mitbestimmungsrecht des Betriebsrats soll dabei lediglich vor rechtlich unzulässigen Eingriffen schützen. Der Betriebsrat spielt allerdings bis zu einem gewissen Grad bei der Beurteilung der Rechtmäßigkeit eine Rolle und kann mithilfe von Betriebsvereinbarungen den Rahmen für rechtlich zulässige Eingriffe mitgestalten. Dabei kann sich auch die Frage stellen, inwieweit der Betriebsrat selbst als Verantwortlicher im Sinne der DSGVO einzustufen ist.

Mitbestimmung bei Leistungs- und Verhaltenskontrolle

Ein Mitbestimmungsrecht besteht, wenn technische Einrichtungen eingeführt oder verändert werden, die objektiv geeignet sind, Verhalten oder Leistung der Beschäftigten zu überwachen. Entscheidend ist nicht, ob der Arbeitgeber tatsächlich überwachen möchte, sondern allein die theoretische Möglichkeit dazu. Beispiele hierfür sind Systeme zur Zeiterfassung, Telefonanlagen oder Software zur Kommunikation, bei denen potenziell personenbezogene Daten ausgewertet werden können.

Meist speichern Systeme beispielsweise jeden angelegten und bearbeiteten Datensatz. Oftmals ist eine Protokollierung von Nutzerdaten auch aus Gründen der IT-Sicherheit erforderlich. Sobald diese Informationen theoretisch einem (eingeloggten bzw. angemeldeten) Nutzer zugeordnet werden können, eignet sich das System bereits zur Leistungs- und Verhaltenskontrolle. Auf eine bestehende Absicht des Arbeitgebers kommt es nicht an. Daten, die sich für eine Verhaltens- und Leistungskontrolle nutzen lassen, werden somit in nahezu allen Softwaresystemen verarbeitet, sodass bei beinahe allen Einführungen und Anwendungen von Softwaresystemen eine Einbeziehung des Betriebsrates erforderlich ist.

Praxisbeispiel für Mitbestimmung: Digitales Zeiterfassungssystem

Ein Unternehmen will ein digitales Zeiterfassungssystem einführen, das automatisch An- und Abmeldezeiten erfasst. Das System speichert auch Standortdaten und ermöglicht so eine indirekte Überwachung der Beschäftigten.

Der Betriebsrat macht sein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG geltend. In einer Betriebsvereinbarung wird festgelegt, dass Standortdaten nicht erfasst werden dürfen und grundsätzlich nur aggregierte Arbeitszeitauswertungen möglich sind.

Wann ist der Betriebsrat einzubeziehen?

Gemäß § 90 BetrVG ist der Betriebsrat bereits in der Planungsphase einzubeziehen. Der Arbeitgeber muss dem Betriebsrat hierfür beispielsweise eine Systembeschreibung inkl. Auflistung aller verarbeiteten Datenarten vorlegen. Der Betriebsrat muss außerdem über den verfolgten Zweck Bescheid wissen und auch Punkte wie Datenflüsse, Zugriffsberechtigungen usw. können für seine Beurteilung relevant sein. Der Unterrichtungsanspruch des Betriebsrates ist umfassend. Grundsätzlich muss nach der Bereitstellung der Informationen ausreichend Zeit für eine interne Meinungsbildung bleiben, sodass eine Berücksichtigung der Vorschläge des Betriebsrates noch möglich ist. Die Grenzen der Unterrichtung und Einsichtnahme durch den Betriebsrat beziehen sich insbesondere auf die Rechte der Arbeitnehmer auf den Schutz personenbezogener Daten.

Was prüft der Betriebsrat?

Wie bereits erläutert, dürfen personenbezogene Daten von Mitarbeitern regelmäßig verarbeitet werden, wenn diese für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich sind. Der Betriebsrat prüft also die Erforderlichkeit bzw. die Verhältnismäßigkeit der Verarbeitung. Bei der Prüfung wird in drei Schritten vorgegangen:

  1. Ist die Maßnahme überhaupt geeignet, ihren Zweck zu erfüllen?
  2. Existiert ein milderes Mittel, um denselben Zweck zu erreichen?
  3. Steht das Interesse des Arbeitgebers im Verhältnis zum Eingriff in die Persönlichkeitsrechte der Beschäftigten?

Der dritte Prüfungsschritt erfordert eine umfassende Abwägung der Arbeitgeberinteressen mit den Arbeitnehmerinteressen. Der für den Arbeitgeber angestrebte Erfolg muss mit dem Nachteil für die Beschäftigten in einem vernünftigen Verhältnis zueinanderstehen.

Externe Sachverständige hinzuziehen

Der Betriebsrat darf gemäß § 80 Abs. 3 BetrVG bei Bedarf externe Sachverständige einbinden, um komplexe Sachverhalte, z. B. im Datenschutz, besser beurteilen zu können, soweit dies erforderlich ist. Insbesondere bei der Beurteilung von Systemen, die Künstliche Intelligenz (KI) einsetzen, ist die Hinzuziehung eines Sachverständigen gem. § 80 Abs. 3 S. 2 BetrVG als erforderlich anzusehen.

Rahmenvereinbarungen zum Arbeitnehmerdatenschutz

Um Konflikte zu vermeiden, sollten Betriebsrat und Arbeitgeber eine IT-Rahmenvereinbarung abschließen. Diese sollte unter anderem Folgendes regeln:

  • Verfahren bei der Einführung oder Änderung von IT-Systemen
  • Festlegung unter welchen Bedingungen und in welchem Umfang IT-Systeme zur Überwachung genutzt werden dürfen
  • Regelungen zu Einsichtnahme und Verarbeitung personenbezogener Daten
  • Regelung der Kontrollrechte des Betriebsrats
  • ggf. Schulungen und Einweisungen bzgl. der neuen IT-Systeme

Handlungsempfehlungen für Betriebsräte

  • Frühzeitig nachhaken: Falls neue IT-Systeme im Unternehmen eingeführt werden, sollte der Betriebsrat aktiv nachfragen und sich frühzeitig beteiligen lassen.
  • Unterlagen gezielt anfordern: Der Betriebsrat sollte auf vollständige Systembeschreibungen bestehen und dabei gezielt nach Funktionen fragen, die eine Überwachung ermöglichen könnten.
  • Betriebsvereinbarungen als Schutzinstrument nutzen: Bei jeder neuen Technologie sollte der Betriebsrat prüfen, ob eine Betriebsvereinbarung notwendig ist, um den Datenschutz der Beschäftigten zu sichern.
  • Datenschutzexperten hinzuziehen: Falls die Beurteilung eines Systems zu komplex ist, kann der Betriebsrat gemäß § 80 Abs. 3 BetrVG externe Sachverständige einbinden. Dies gilt insbesondere für KI-Systeme.

Der Betriebsrat hat eine entscheidende Rolle beim Schutz von Beschäftigtendaten. Durch aktive Mitbestimmung und klare Regelungen in Betriebsvereinbarungen trägt er wesentlich zu einer datenschutzkonformen und transparenten Praxis im Unternehmen bei.

Mehr zum Thema Unternehmen
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Nur zur Erinnerung, § 26 BDSG ist tot, siehe EuGH.. Schön wäre hier auch noch mal ein Hinweis gewesen, das BVen keine Verarbeitung unterhalb des Niveaus der DSGVO rechtfertigen. VG

    • Vielen Dank für Ihren Kommentar. Grundsätzlich bleibt § 26 BDSG in weiten Teilen vom EuGH-Urteil unberührt und gilt formell weiterhin fort. Betroffen ist ausschließlich die Generalklausel in § 26 Abs. 1 S. 1 BDSG, deren Anwendbarkeit durch das EuGH-Urteil in Zweifel gezogen werden kann. In der Praxis dürfte dies jedoch nur geringe Auswirkungen haben, da die Verarbeitung dann regelmäßig auch auf Art. 6 Abs. 1 S. 1 lit. b DSGVO gestützt werden kann. Weitere Informationen dazu finden Sie im Artikel zum Thema Beschäftigtendatenschutz.

  • Der Datenschutz muss ja wegen Privacy by Design ja genauso frühzeitig eingebunden werden wie der BR. Gibt es da so etwas wie in Best Practice der Zusammenarbeit zwischen beiden Institutionen, also wer geht an wen zu welchem Zeitpunkt ran, gibt frei etc.? Die Zusammenarbeit muss m. E. allein deswegen ja schon intensiviert werden, weil die Betriebsvereinbarungen ja nach neuer Rechtsprechung auch bereits datenschutzkonform sein müssen (und entsprechend vom DSB zuvor zu prüfen sind) …

    • Vielen Dank für Ihren Kommentar. Eine fest definierte Best Practice gibt es grundsätzlich nicht, aber in der Praxis bewährt sich eine frühzeitige Abstimmung zwischen DSB und Betriebsrat. Sinnvoll kann aber sein, dass der DSB zuerst die datenschutzrechtliche Prüfung durchführt, sodass der Betriebsrat darauf aufbauen kann. So lässt sich Datenschutz wirksam in betriebliche Prozesse (z.B. bei der Einführung neuer IT-Systeme oder dem Abschluss neuer Betriebsvereinbarungen) integrieren.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.