Betriebsrat darf nicht mitbestimmen

Warum der Betriebsrat beim Datenschutz kein Mitbestimmungsrecht hat

Ein Urteil mit Wirkung für die Praxis

Die Einführung neuer IT-Systeme ist heute in vielen Unternehmen alltäglich. Sobald dabei Beschäftigtendaten verarbeitet werden, meldet sich in der Regel der Betriebsrat zu Wort. Das ist nachvollziehbar, denn der Schutz personenbezogener Daten ist im digitalen Arbeitsumfeld wichtiger denn je. Doch wie weit reicht das Mitbestimmungsrecht des Betriebsrats beim Thema Datenschutz wirklich? Das Landesarbeitsgericht Hessen (Beschluss vom 05.12.2024 – 5 TaBV 4/24) hat hierzu nun eine klare Grenze gezogen. Für die Praxis bringt das spürbare Klarheit.

Einführung eines IT-Systems zur Stammdatenverwaltung

In dem entschiedenen Fall hatte ein Unternehmen ein gruppenweites IT-System zur Verwaltung von Beschäftigtendaten eingeführt. Die Software wurde auf Servern in den USA gehostet. Der Betriebsrat hatte zunächst eine Betriebsvereinbarung zur Nutzung des Systems mitverhandelt. Darin enthalten waren unter anderem Regelungen zur Systembeschreibung, zum Umgang mit Protokolldaten, zum Datenimport aus einem anderen System und zum Export in weitere Anwendungen. Auch eine Leistungs- und Verhaltenskontrolle auf Grundlage der Logdaten wurde geregelt.

Kurz nach Abschluss erklärte der Betriebsrat jedoch die Kündigung der Vereinbarung und focht den Spruch der Einigungsstelle an. Er rügte, dass die datenschutzrechtliche Tragweite des Systems in der Vereinbarung nicht umfassend berücksichtigt worden sei. Auch die Datenübermittlung ins außereuropäische Ausland sei datenschutzrechtlich nicht ausreichend legitimiert.

Das LAG Hessen wies die Beschwerde des Betriebsrats ab und bestätigte den Beschluss des Arbeitsgerichts Fulda. Die datenschutzrechtliche Verantwortung liegt nach Ansicht beider Gerichte allein beim Arbeitgeber.

Datenschutz ist keine Frage der Mitbestimmung

Das Gericht machte deutlich, dass sich das Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 6 BetrVG ausschließlich auf die Einführung technischer Einrichtungen zur Leistungs- und Verhaltenskontrolle bezieht. Es dient nicht der allgemeinen Gewährleistung des Beschäftigtendatenschutzes. Die Verantwortung für die Einhaltung der Datenschutzvorgaben nach der Datenschutz-Grundverordnung liegt ausschließlich beim Arbeitgeber als verantwortlicher Stelle im Sinne von Artikel 4 Nr. 7 DSGVO.

Auch ein Rückgriff auf das Mitbestimmungsrecht über Fragen der Ordnung des Betriebs (§ 87 Abs.1 Nr. 1 BetrVG) hilft dem Betriebsrat nicht weiter. Dieses betrifft lediglich das Verhalten der Beschäftigten, nicht aber die rechtliche Verantwortung des Unternehmens.

Das Gericht stellte zudem klar, dass zwingende gesetzliche Regelungen einer Mitbestimmung durch den Betriebsrat grundsätzlich entgegenstehen. Der Gesetzesvorbehalt im Eingangssatz des § 87 Abs. 1 BetrVG verhindert eine Mitbestimmung in Bereichen, die bereits durch Gesetz oder Tarifvertrag geregelt sind. Datenschutzrechtliche Pflichten, wie sie sich aus der DSGVO ergeben, unterliegen daher nicht der erzwingbaren Mitbestimmung. Auch die Öffnungsklauseln des § 26 Abs. 4 BDSG führen lediglich zu freiwilligen Betriebsvereinbarungen, nicht zu Mitbestimmungsrechten.

Was bedeutet das für die Praxis im Unternehmen

Für Arbeitgeber ist die Entscheidung erfreulich. Sie bringt Rechtssicherheit in einer bislang häufig unklaren Gemengelage. Die Einhaltung datenschutzrechtlicher Vorschriften bleibt eine originäre Pflicht des Unternehmens und kann nicht durch Betriebsvereinbarungen ersetzt oder verändert werden. Arbeitgeber können sich in künftigen Verhandlungen mit dem Betriebsrat auf das Urteil stützen, wenn versucht wird, überbordende Datenschutzregelungen in IT-Betriebsvereinbarungen durchzusetzen.

Das Urteil schafft somit eine wichtige Klarstellung: Datenschutz gehört in die Verantwortung der Unternehmensleitung, nicht in die Einigungsstelle. Der Betriebsrat darf begleiten, beobachten und Informationen einfordern, aber nicht anstelle des Gesetzgebers Regelungen aufstellen oder durchsetzen.

Fazit

Das Landesarbeitsgericht Hessen hat mit seinem Beschluss eine praxisnahe und juristisch saubere Linie gezogen. Datenschutzrechtliche Vorschriften sind gesetzlich abschließend geregelt. Unternehmen müssen sich daran halten, tragen dafür aber auch allein die Verantwortung. Die Mitbestimmungsrechte des Betriebsrats enden dort, wo das Gesetz klare Vorgaben macht.

Das Urteil liefert damit eine wertvolle Grundlage für künftige Verhandlungen mit Arbeitnehmervertretungen und stärkt zugleich die Trennschärfe zwischen Datenschutzverantwortung und Mitbestimmung.