Wird diese Nachricht nicht richtig dargestellt, klicken Sie bitte hier.

Heuking Kühn Lüer Wojtek

Update Datenschutz
IP, Media & Technology

Nr. 70 | 03.12.2019


Mitbestimmungsrecht des Betriebsrats bei Meldeverfahren für Datenpannen nach DSGVO
Dr. Philip Kempermann, LL.M., Astrid Luedtke und Bernd Weller


Auch wenn die Datenschutzkonferenz eine Vielzahl an Auslegungshilfen bereitstellt, sorgen letzten Endes die Gerichte für die verbindliche Auslegung der Bestimmungen der DSGVO. Aktuell tun sich in dieser Hinsicht insbesondere die Arbeitsgerichte hervor. So auch in einer aktuellen Entscheidung des LAG Schleswig-Holstein.

LAG Schleswig-Holstein, Beschluss vom 6. August 2019 – 2 TaBV 9/19

Nach diesem Beschluss hat der Betriebsrat bei der Festlegung mitzubestimmen, wie und an wen in welcher Form Arbeitnehmer eine von ihnen festgestellte Datenpanne im Sinne der DSGVO innerhalb des Unternehmens zu melden haben. Für die Wahrnehmung dieses Mitbestimmungsrechtes ist der lokale Betriebsrat originär zuständig.

Sachverhalt

Ein Callcenter-Unternehmen mit mehreren Betrieben verfügt über lokale Betriebsräte und einen Gesamtbetriebsrat. Die Arbeitgeberin verteilte eine Arbeitsanweisung im Hinblick auf die Artikel 33 und 34 der DSGVO, um ein Meldesystem im Hinblick auf etwaige Datenpannen und deren Behandlung entsprechend der Vorgaben der DSGVO zu installieren. Danach wurden die Mitarbeiter unter anderem angewiesen, ein standardisiertes Meldeverfahren zu verwenden, indem an eine unternehmenszentrale E-Mail-Adresse eine E-Mail mit im Einzelnen vorgegebenen Mindestangaben zu versenden war. Überdies sah die Anweisung vor, dass die eine solche Datenpanne meldende Person sich während des gesamten Prozesses der Aufklärung kurzfristig erreichbar halten müsse und zur weiteren Mitwirkung und Unterstützung der zentralen Maßnahmen verpflichtet sei. Überdies sollten Abwesenheitszeiten bei dem zentralen Datenschutz-Einsatzteam vorab angemeldet werden. Das sind aus DSGVO-Perspektive übliche und auch hilfreiche Vorgaben für das Meldeverfahren. Ein lokaler Betriebsrat war der Auffassung, dass seine Mitbestimmungsrechte durch diese Arbeitsanweisung verletzt würden und leitete ein arbeitsgerichtliches Beschlussverfahren ein.

Entscheidung

Sowohl das Arbeitsgericht Kiel als auch das LAG Schleswig-Holstein bejahten ein Mitbestimmungsrecht des Betriebsrates gemäß § 87 Abs. 1 Nr. 1 BetrVG. Dieses Mitbestimmungsrecht besteht nach ständiger Rechtsprechung des BAG (vgl. nur BAG, Beschluss vom 11. Juni 2002 – 1 ABR 46/01) nur dann, wenn eine arbeitgeberseitige „Maßnahme auf die Gestaltung des kollektiven Miteinanders oder die Gewährleistung und Aufrechterhaltung der vorgegebenen Ordnung des Betriebes zielt.“ Vorgaben zum Arbeitsverhalten sind hingegen mitbestimmungsfrei. Ein Arbeitsverhalten liegt immer dann vor, wenn der Arbeitgeber innerhalb seines arbeitsvertraglichen Weisungsrechtes näher bestimmt, welche Arbeiten vom Arbeitnehmer wie ausgeführt werden sollen. Nach Auffassung des LAG Schleswig-Holstein ist die Meldung einer Datenpanne keine arbeitsvertragliche Pflicht des Arbeitnehmers; aufgrund der Einschränkung des Meldeverfahrens liege eine betriebliche Verhaltensregelung vor, die die Entscheidungsfreiheit der Arbeitnehmer einschränke. Das LAG Schleswig-Holstein macht zudem deutlich, dass nicht erkennbar sei, warum diese Einengung auf den Versand einer E-Mail erforderlich sei; auch eine mündliche Meldung sei doch ausreichend.

Überdies, so das LAG Schleswig-Holstein, liege die Mitbestimmung in den Händen des lokalen Betriebsrates. Es sei kein hinreichender Grund erkennbar, warum hier ein Fall der objektiven oder subjektiven Unmöglichkeit vorliege, der die Mitbestimmung originär in die Hände des Gesamtbetriebsrates lege.

Fazit

Der Arbeitgeber ist nach Art. 24 verpflichtet, effiziente technische und organisatorische DSGVO-Maßnahmen zur Ermöglichung der Meldung nach Artt. 33, 34 DSGVO zu treffen. Die Rechenschafts- und Dokumentationspflicht gemäß Art. 5 Abs. 2 DSGVO verpflichtet ihn, die getroffenen Maßnahmen nachweisen zu können. Dabei müssen sich die Prozesse an marktüblichen Standards orientieren, um sich nicht der Kritik der Datenschutzaufsichtsbehörden auszusetzen. Die Entscheidung des LAG Schleswig-Holstein setzt sich mit diesen Verpflichtungen aus der DSGVO nicht auseinander. Zudem verkennt sie nach unserer Einschätzung die ständige Rechtsprechung des BAG. Zum einen ist die Bestimmung eines Meldeverfahrens gemäß DSGVO eine arbeitsvertragliche Nebenpflicht eines jeden Arbeitnehmers und fällt daher in das mitbestimmungsfreie Arbeitsverhalten der Arbeitnehmer. Selbst wenn man diese Auffassung nicht teilen sollte, müssten in jedem Fall die Voraussetzungen des „Ordnungsverhaltens“ positiv geprüft werden. Nach der zutreffenden Rechtsprechung des BAG besteht zwischen Arbeits- und Ordnungsverhalten nämlich kein Entweder-oder-Verhältnis. Das BAG hat hingegen auch schon Fälle anerkannt, in denen weder Arbeits-, noch Ordnungsverhalten betroffen waren (sog. sui generis-Anordnungen – BAG, Beschluss vom 14. April 2014 – 1 ABR 85/12). Es müsse positiv festgestellt werden, dass eine Maßnahme die betriebliche Ordnung betreffe. Eine solche Subsumtion ist der Entscheidung des LAG Schleswig-Holstein nicht zu entnehmen. Die bloße kollektive Vorgabe einer Arbeitshandlung bzw. eines Arbeitsweges stellt noch keine Maßnahme der betrieblichen Ordnung dar. Wenn der Arbeitgeber festlegt, welche Arbeitnehmer an wen zu berichten hat, ist dies auch keine Frage des betrieblichen Zusammenlebens, sondern eine mitbestimmungsfreie Frage der Arbeitsorganisation, die sich zwingend an den Anforderungen der DSGVO orientieren muss. Insofern überzeugt die Entscheidung des LAG Schleswig-Holstein nicht.

Es bleibt abzuwarten, ob das BAG die Gelegenheit bekommt, die Entscheidung des LAG Schleswig-Holstein zu begradigen. Sollte dies nicht der Fall sein, könnten die Auswirkungen weitreichend sein. Ansonsten wäre die datenschutzrechtliche Compliance des Arbeitgebers von den Findungen der Eingangsstelle abhängig und der von der DSGVO bezweckte Schutz der Betroffenen unter Umständen empfindlich eingeschränkt.

Autoren


Dr. Philip Kempermann, LL.M., ist Rechtsanwalt bei Heuking Kühn Lüer Wojtek und Mitglied der Praxisgruppe IP, Media & Technology.



Astrid Luedtke ist Rechtsanwältin bei Heuking Kühn Lüer Wojtek und Mitglied der Praxisgruppe IP, Media & Technology.



Bernd Weller ist Rechtsanwalt bei Heuking Kühn Lüer Wojtek und Mitglied der Praxisgruppe Arbeitsrecht.

Kontakt
T +49 211 600 55-168
F +49 211 600 55-160
E datenschutz@heuking.de

Besuchen Sie auch unsere Themenseite zum Datenschutzrecht:
Microsite Datenschutz
Task-Force-Datenschutz
Heuking Kühn Lüer Wojtek
Dr. Christian Appelbaum
Heuking Kühn Lüer Wojtek
Dr. Ubbo Aßmus
Heuking Kühn Lüer Wojtek
Dr. Felix Drefs
Heuking Kühn Lüer Wojtek
Alexa Finke, LL.M.
Heuking Kühn Lüer Wojtek
Regina Glaser, LL.M.
Heuking Kühn Lüer Wojtek
Torsten Groß, LL.M.
Heuking Kühn Lüer Wojtek
Maike Katharina Hinz
Heuking Kühn Lüer Wojtek
Britta Hinzpeter, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Thomas Jansen
Heuking Kühn Lüer Wojtek
Dr. Philip Kempermann, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Lutz Martin Keppeler
Heuking Kühn Lüer Wojtek
Dr. Markus Klinger
Heuking Kühn Lüer Wojtek
Michael Kuska, LL.M., LL.M.
Heuking Kühn Lüer Wojtek
Astrid Luedtke
Heuking Kühn Lüer Wojtek
Marcel Maybaum
Heuking Kühn Lüer Wojtek
Antje Münch, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Søren Pietzcker, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Wolfgang G. Renner, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Dirk Stolz
Heuking Kühn Lüer Wojtek
Dr. Frederik Wiemer
Heuking Kühn Lüer Wojtek
Dr. Florian Winzer
Heuking Kühn Lüer Wojtek
Dr. Hans Markus Wulf







Ich möchte den Newsletter
> abbestellen

> bestellen









Heuking Kühn Lüer Wojtek
© 2019 Heuking Kühn Lüer Wojtek

PartGmbB von Rechtsanwälten und Steuerberatern*
Georg-Glock-Str. 4, 40474 Düsseldorf

* Datenschutzinformationen / Registerangaben / Liste der Partner: www.heuking.de

Informationen darüber, wie Heuking Kühn Lüer Wojtek mit Ihren personenbezogenen Daten umgeht,
zu welchen Zwecken Ihre Daten verarbeitet werden, die Rechtsgrundlagen der Verarbeitung und
welche Rechte Sie haben, können Sie unter www.heuking.de nachlesen.

datenschutz@heuking.de