Die Nutzung der IT-Infrastruktur des Arbeitgebers durch den Betriebsrat ist ein heikles Thema, insbesondere im Hinblick auf den Datenschutz. Der Hamburger Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat sich in einer Beschwerde intensiv mit dieser Fragestellung auseinandergesetzt. Welche Regeln gelten, welche Risiken bestehen, und wie können diese minimiert werden? Ein Überblick.
Rechtsgrundlagen und Zusammenarbeit
Nach § 2 Abs. 1 des Betriebsverfassungsgesetzes (BetrVG) arbeiten Betriebsräte und Arbeitgeber vertrauensvoll zusammen. Gleichzeitig müssen beide Seiten datenschutzrechtliche Vorschriften einhalten (§ 79a S. 3 BetrVG). Betriebsräte verarbeiten regelmäßig sensible Daten, die besonders geschützt werden müssen, um das Vertrauen der Mitarbeitenden zu sichern und arbeitsrechtliche Konflikte zu vermeiden.
Die Praxis: Nutzung der Arbeitgeber-IT
In der Praxis nutzen Betriebsräte oft die IT-Infrastruktur des Arbeitgebers – sei es für E-Mails, Netzwerkspeicher oder andere digitale Dienste. Dies ist häufig darauf zurückzuführen, dass Betriebsräte laut Rechtsprechung keinen Anspruch auf eine eigene IT-Ausstattung haben (BAG, Urteil vom 20.04.2016, Az. 7 ABR 50/14). Doch diese Nutzung birgt Risiken.
Risiko: Zugriff des Arbeitgebers
Der Arbeitgeber kann sich über Administratorenrechte theoretisch Zugriff auf die Daten des Betriebsrats verschaffen, selbst wenn diese nur für Betriebsratsmitglieder zugänglich sein sollten. Dies betrifft besonders E-Mail-Konten wie „betriebsrat@unternehmen-xy.de“. Die Meta-Daten solcher E-Mails, wie Absender und Empfänger, bleiben sichtbar, auch wenn Inhalte verschlüsselt sind.
Verschlüsselung als Schutz
Eine Lösung könnte der Einsatz einer durchgängigen Verschlüsselung wie PGP sein. Dadurch können Inhalte gesichert werden, solange der Arbeitgeber keinen Zugriff auf die Verschlüsselungsschlüssel hat. Dennoch bleiben Meta-Daten potenziell sichtbar. In der Fachliteratur wird daher diskutiert, ob der Betriebsrat Anspruch auf Verschlüsselungssoftware durch den Arbeitgeber hat.
Ein Fall aus der Praxis
Der HmbBfDI prüfte eine Beschwerde eines Mitarbeiters, der befürchtete, dass seine Daten vom Betriebsrat nicht ausreichend geschützt seien. Im konkreten Fall wurden die Daten auf einem Netzwerklaufwerk gespeichert, auf das nur der Betriebsrat Zugriff hatte. Administratorenrechte lagen bei einem IT-Verantwortlichen, jedoch nicht beim Arbeitgeber. Zudem war arbeitsgerichtlich geregelt, dass der Arbeitgeber keine Zugriffsrechte erhalten würde.
Das Ergebnis
Ein Datenschutzverstoß wurde nicht festgestellt, da angemessene technische und organisatorische Maßnahmen getroffen wurden. Dieser Fall zeigt, dass kreative Lösungen möglich sind, um die Anforderungen der DSGVO gemäß Art. 32 zu erfüllen.
Empfehlungen für Betriebsräte
- Verschlüsselung einsetzen: Eine vom Betriebsrat kontrollierte Verschlüsselung ist ein effektives Mittel, um Daten vor unbefugtem Zugriff zu schützen.
- Klare Vereinbarungen treffen: Arbeitsgerichtliche Regelungen über Zugriffsrechte schaffen Rechtssicherheit.
- Risikomanagement betreiben: Szenarien wie das Ende des Arbeitsverhältnisses eines IT-Verantwortlichen sollten berücksichtigt werden.
- Transparenz wahren: Betriebsräte sollten klar kommunizieren, wie Daten geschützt werden, um das Vertrauen der Mitarbeitenden zu sichern.
Fazit
Die Nutzung der IT-Infrastruktur des Arbeitgebers durch den Betriebsrat ist rechtlich möglich, erfordert jedoch sorgfältige Planung und den Einsatz angemessener Schutzmaßnahmen. Eine vom Betriebsrat kontrollierte Verschlüsselung bietet zusätzliche Sicherheit, ist jedoch nicht in jedem Fall zwingend erforderlich. Wichtig ist eine vertrauensvolle Zusammenarbeit zwischen Arbeitgeber und Betriebsrat, um datenschutzrechtliche Anforderungen zu erfüllen und die Vertraulichkeit sensibler Daten zu gewährleisten.