Quelle: HBS
Magazin MitbestimmungDatenschutz: Datenschutz im Akkord
Wegen der fortschreitenden Digitalisierung der Arbeitswelt müssen Arbeitnehmervertreter Betriebs- und Dienstvereinbarungen fast im Akkord aushandeln. Das geht aber nur, wenn der Arbeitgeber mitspielt. Von Joachim F. Tornau
Ausgerechnet die Deutsche Bahn. Ausgerechnet jenes Unternehmen, das noch vor wenigen Jahren in einen Bespitzelungsskandal sondergleichen versunken war, nennt Peter Wedde als leuchtendes Beispiel. „Vorbildcharakter“ bescheinigt der Datenschutzexperte dem Verkehrskonzern. Denn als Lehre aus der Spähaffäre – mehr als 170 000 Mitarbeiter und Angehörige waren heimlich überprüft worden – gilt bei der Bahn seit Ende 2010 eine Betriebsvereinbarung, die den Umgang mit Beschäftigtendaten sehr grundsätzlich und sehr strikt regelt. Doch sie wäre, so darf vermutet werden, wohl kaum verabschiedet worden, wenn das Unternehmen nicht derart in die Defensive geraten wäre.
Peter Wedde, Professor für Arbeitsrecht und Recht der Informationsgesellschaft an der Fachhochschule Frankfurt, berät Betriebsräte in Fragen von Informationstechnologien (IT) und Datenschutz. Und er weiß: „Um gute Regelungen treffen zu können, braucht man einen kooperativen Arbeitgeber – oder eine große Durchsetzungsmacht.“ Bei der Bahn war es eine Mischung aus beidem. Und ein Sonderfall. Meist ist das Ringen um Datenschutz für Arbeitnehmervertreter eine sehr viel mühsamere Angelegenheit.
„Betriebsräte sind einem immensen Arbeitsdruck ausgesetzt, was IT-Themen angeht“, sagt Wedde. In immer neue und immer komplexere Softwaresysteme müssen sie sich hineindenken. Müssen begreifen, wo sich ein Einfallstor für unzulässige Kontrollen der Arbeitnehmer verstecken könnte. Und sie müssen versuchen, dem möglichst nachhaltig den Riegel vorzuschieben – was jedoch angesichts des rasanten technischen Fortschritts einer Sisyphos-Aufgabe gleicht. Tablets und Smartphones, die via GPS ihren Standort verraten. Rechner, die auch riesige Datenmengen („Big Data“) verknüpfen und auswerten können. Software, die sich permanent verändert, weil Aktualisierungen nicht erst mit einer neuen Version, sondern regelmäßig aus der Cloud kommen. Was gestern unvorstellbar war, ist heute Alltag und morgen schon wieder überholt.
Katharina Lang, Vorsitzende des Gesamtpersonalrats der Stadt Düsseldorf, nennt das in freundlicher Zurückhaltung eine „echte Herausforderung“. Weit über 300 verschiedene Softwareverfahren kämen mittlerweile innerhalb der Kommunalverwaltung zum Einsatz – vom Entleihsystem in den Stadtbüchereien über die Register im Einwohnermeldeamt bis zur Buchhaltung in den Eigenbetrieben. Und die Tendenz sei weiter steigend: „An immer mehr Ecken und Enden hält die Digitalisierung Einzug.“
So werden Knöllchen für Falschparker heute per Smartphone ausgestellt, berichtet Lang. Da habe man per Dienstvereinbarung festgeschrieben, dass keine Handyortung erlaubt ist – damit nicht kontrolliert werden kann, wer gerade wo unterwegs ist. Derzeit steht die Einführung elektronischer Schließsysteme auf der Agenda. Und der Personalrat will dafür sorgen, dass über die Transponder keine Bewegungsprofile der Beschäftigten gespeichert werden können. „Wir mussten den Arbeitgeber jedoch erst einmal überzeugen, dass wir dabei überhaupt ein Mitbestimmungsrecht haben“, sagt die Personalratschefin.
Die einschlägige gesetzliche Vorschrift, auf die sich Arbeitnehmervertreter stützen können, ist nicht ganz so modern wie die zu regelnde Technik: Sie stammt aus dem Jahr 1972. Seitdem verlangt das Betriebsverfassungsgesetz die Mitbestimmung bei „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen“. Eine sperrige Formulierung, die sich ähnlich auch in den Personalvertretungsgesetzen von Bund und Ländern findet. Dank einer weiten Auslegung durch die Rechtsprechung funktioniert diese Regelung aber auch im IT-Zeitalter noch, meint Datenschützer Wedde. „Nach mehr als 40 Jahren ist das immer noch eine wirksame Waffe.“ Mehr steht Betriebsräten im Kampf für den Datenschutz auch nicht zur Verfügung. Ein eigenes Arbeitnehmerdatenschutzgesetz gibt es in Deutschland bis heute nicht.
Der letzte Anlauf kam von der schwarz-gelben Bundesregierung und war unter anderem am Protest der Gewerkschaften gescheitert, die den arbeitgeberfreundlichen Entwurf als „Beschäftigtenüberwachungsgesetz“ kritisierten. Was damals verhindert wurde, könnte bald jedoch mit dem Umweg über Europa Realität werden: Die geplante Datenschutz-Grundverordnung der EU würde nach derzeitigem Verhandlungsstand beispielsweise als europaweiten Standard festlegen, dass Arbeitnehmer bereits beim Verdacht auf eine „schwerwiegende Pflichtverletzung“ kontrolliert werden dürfen. „Also schon bei einem Fehlverhalten auf dem Niveau der berühmten gestohlenen Frikadelle“, sagt Wedde. „Wenn das kommt, müssen sich Arbeitnehmer und Betriebsräte warm anziehen.“
ECHTES DRUCKMITTEL
Dabei ist es für Arbeitnehmervertreter schon bei der bestehenden Rechtslage schwer genug, mit den ständigen Veränderungen der digitalen Arbeitswelt Schritt zu halten – und weiter auf guten Regelungen zu beharren, auch wenn eine IT-Innovation die nächste jagt. Für Holger Stockmann, Betriebsratsvorsitzender beim Filterplattenhersteller Lenser Filtration in Senden bei Ulm, kommt Aufgeben jedoch nicht infrage: „Wenn Betriebsräte sagen: Ich will mich mit dem Chef nicht anlegen und unterschreibe einfach, werde ich grillig.“ In dem mittelständischen Unternehmen mit rund 230 Beschäftigten sollte eine Software eingeführt werden, die ungefähr alles steuert – von Arbeitszeiterfassung und Personalplanung bis zu Maschinenüberwachung und Stückzahlbewertung. Der Betriebsrat wollte sich dem nicht widersetzen. Aber: Er ließ sich garantieren, dass jegliche Auswertung der Daten zur Leistungs- und Verhaltenskontrolle ausgeschlossen ist. Und damit das nicht nur auf dem Papier steht, kann er immer überprüfen, was gesammelt wird, und, wenn nötig, die Notbremse ziehen. „Nach mehreren Verstößen haben wir ein Sonderkündigungsrecht für die Betriebsvereinbarung“, sagt Stockmann. Das System müsste dann erst einmal stillgelegt werden – ein echtes Druckmittel. Ohne diese Sanktionsmöglichkeit könnte der Betriebsrat nur vor das Arbeitsgericht ziehen und eine einstweilige Verfügung beantragen.
Das Modell „Reißleine“ empfiehlt Peter Wedde, der auch die Arbeitnehmervertretung bei Lenser beraten hat, als vergleichsweise einfachen Weg, um zu einer zukunftsfähigen Betriebsvereinbarung zu gelangen. „Das ist sinnvoller, als den Arbeitgeber bei jeder neuen Softwareversion andackeln zu lassen und eine neue Vereinbarung zu machen.“ Er erwartet, dass Unternehmen den teuren Stopp der Software nicht riskieren wollen und sich deshalb auch bei Updates lieber an Recht und Gesetz halten werden.
Außerdem rät der Datenschutzexperte bei der Einführung neuer Systeme zu einer „IT-Folgeabschätzung“. „Betriebsräte sollten über die einzelne Anwendung hinausdenken“, sagt er und bemüht als Beispiel die klassische E-Mail. Als das neue Kommunikationsmittel vor Jahren aufkam, dachte kaum jemand daran, was heute für Datenschutzkonflikte sorgt: dass Mails auf einem zentralen Server archiviert und nach Stichworten durchsucht werden können. „Die Erfahrung lehrt: Bei jeder neuen Technik kommt vom Arbeitgeber irgendwann reflexhaft die Reaktion: Wir müssen das kontrollieren, weil sonst Geschäftsgeheimnisse abfließen könnten.“
WAS HEISST SCHON FREIWILLIG
Derzeit steht hoch im Kurs, die firmeninterne Kommunikation auf Onlinenetzwerke umzustellen. Beim IT-Dienstleister Atos heißt das selbst entwickelte Netzwerk „blueKiwi“. Die Nutzung ist für die Beschäftigten an den rund 50 deutschen Standorten des französischen Konzerns jedoch freiwillig – das hat der Gesamtbetriebsrat durchsetzen können. Wohl wissend, dass es mit der Freiwilligkeit im Arbeitsverhältnis oft nicht allzu weit her ist: „Wir haben viel Aufwand investiert, um in einer Gesamtbetriebsvereinbarung zu definieren, was Freiwilligkeit heißt“, sagt die GBR-Vorsitzende Astrid Granzow. „So soll sichergestellt werden, dass aus einer späteren Standardisierung nicht doch ein faktischer Zwang folgt.“
An regelungsbedürftigen Software-Tools herrscht in einem IT-Unternehmen naturgemäß auch ansonsten kein Mangel. Um der Flut Herr zu werden, hat die Arbeitnehmervertretung einige Standardformulierungen ausgehandelt, insbesondere zum Datenschutz, die sich nun in jeder Einzelvereinbarung wiederfinden. „Über diese Fragen müssen wir damit nicht immer wieder neu verhandeln“, sagt Granzow.
Noch weiter geht man in einem Unternehmen der Energiebranche: Dort wird in einem Pilotbetrieb seit zwei Jahren ein sehr pragmatisches Prozedere ausprobiert. Als „risikobasiertes Modell“ bezeichnet es der Sprecher des IT-Ausschusses, der namentlich nicht genannt sein will. „Wir sind da neue Wege gegangen.“
Eine paritätisch mit Vertretern von Betriebsrat und Arbeitgeber besetzte Kommission teilt IT-Themen in drei Kategorien auf – nach dem Ausmaß, in dem personenbezogene Daten anfallen. In der untersten Kategorie müssen die Arbeitnehmervertreter über Veränderungen lediglich informiert werden. In der mittleren muss der Betriebsrat vor der Umsetzung angehört werden. Über Betriebsvereinbarungen aber wird nur bei der höchsten Risikostufe verhandelt. Ergänzend hat der Betriebsrat ein sehr starkes Kontrollrecht, wie der Ausschusssprecher erklärt: „Wir können jedes System jederzeit auditieren.“ Das Modell, sagt er, funktioniere gut.
Auch Datenschutzexperte Wedde hält es für den richtigen Ansatz, auf eine solche „Prozessorientierung“ zu setzen, wie er es nennt. „Ich glaube, dass Betriebsräte verstärkt in diese Richtung denken müssen.“ Von einer Serienreife aber sind derlei Überlegungen in vielen Unternehmen noch weit entfernt. Und: Nicht alle Hürden lassen sich damit nehmen. Bei Atos, dem weltweit agierenden IT-Konzern, sehen sich die deutschen Beschäftigtenvertreter immer häufiger dem Problem des „Offshoring“ ausgesetzt: IT-Aufgaben wie etwa die Administration von Systemen werden aus Kostengründen nach Südosteuropa oder sogar nach Indien ausgelagert. Zwar lässt sich der Gesamtbetriebsrat in solchen Fällen vertraglich zusichern, dass das Unternehmen auch in der Ferne ein Datenschutzniveau wie in Deutschland sicherstellt. Doch zu kontrollieren ist das nur schwer.
Ein weiteres Konfliktfeld tut sich unter dem Schlagwort „Compliance“ auf. Im Bestreben, Rechtsverstöße zu verhindern, schießen viele Unternehmen über das Ziel hinaus. „Compliance bedeutet das Einhalten aller gesetzlichen Regeln“, sagt Wedde. „Aber Betriebsverfassungsgesetz und Datenschutz werden dabei gerne vergessen.“
Auch bei dem Energiekonzern, der sich bei der Regelung von IT-Fragen so mutig auf unbekanntes Terrain gewagt hat, gestalten sich die Gespräche in dieser Frage schwierig: Seit fast drei Jahren verhandle man über eine Compliance-Vereinbarung, erzählt der Sprecher des IT-Ausschusses. „Dem Arbeitgeber geht es darum, schnell ermitteln zu dürfen – uns geht es um den Schutz der Beschäftigten.“ Der Betriebsrat will deshalb ein Vetorecht. Und er besteht darauf, dass die Messlatte hoch hängt: Aufdecken strafbarer Handlungen ja, Kontrollen bei Bagatellen nein. „Wegen eines Kulis oder einer Kaffeetasse, die abhanden gekommen ist, sollte es keine Überwachung geben.“ Trotz der widerstreitenden Interessen aber ist der Sprecher optimistisch, dass es doch noch zu einer Einigung kommt: „Wir sind jetzt auf einem lösungsorientierten Weg.“
Und dann ist da nicht zuletzt auch noch das, was man das Vermittlungsproblem nennen könnte: Nicht nur gegenüber dem Arbeitgeber müssen sich Betriebsräte rechtfertigen, wenn sie neue Software nicht einfach durchwinken wollen. „Auch bei den Kollegen, für die wir uns einsetzen, stoßen wir gelegentlich auf Unverständnis“, sagt Katharina Lang, die Personalratsvorsitzende aus Düsseldorf. „Uns wird Misstrauen vorgeworfen, es gibt oftmals kein Bewusstsein für die kritischen Punkte.“ Vor allem wenn Arbeitnehmervertreter Bedenken gegen eine Software anmelden, die vermeintlich oder tatsächlich die Arbeit erleichtert, stehen sie schnell als Verhinderer da.
Was wohl auch so etwas wie ein Generationenkonflikt ist zwischen den „Digital Natives“, die mit dem Internet aufgewachsen sind, und den älteren Beschäftigten. Oder wie es kürzlich ein Teilnehmer der Engineering- und IT-Tagung von IG Metall und Hans-Böckler-Stiftung ausdrückte: „Wir haben zwei Generationen im Betrieb: Die Betriebsräte, das sind die über 50-jährigen Männer. Die Jungen sind schon viel weiter, die verstehen gar nicht, was wir regeln wollen.“
MEHR INFORMATIONEN
Ingrid Maas/Karl Schmitz/Peter Wedde: Datenschutz 2014. Probleme und Lösungsmöglichkeiten. HSI-Schriftenreihe, Band 9. Frankfurt, Bund-Verlag 2014. 119 Seiten, 19,80 Euro.
Konzernbetriebsvereinbarung zum Beschäftigtendatenschutz bei der Deutschen Bahn AG.