25.07.2018

IT-Sicherheitsrecht: Wann ist der Betriebsrat einzubeziehen?

Portrait von Paul Voigt
Paul Voigt Rechtsanwalt und Fachanwalt für Informationstechnologierecht im Berliner Büro der internationalen Wirtschaftskanzlei Taylor Wessing

Pflichten und Haftung im Unternehmen (mit DSGVO & NIS-RL-UmsetzungsG). Der Praxisleitfaden liefert praxisorientierte Hinweise zur Einhaltung der anwendbaren IT-Sicherheitspflichten und zu den Haftungsrisiken bei Sicherheitsdefiziten. Hier im Blog werden einige zentrale Auszüge veröffentlicht.

Voigt, IT-Sicherheitsrecht, 2018, 287 Seiten, 79,80 Euro

In mitbestimmten Unternehmen lösen Maßnahmen rund um die IT-Infrastruktur häufig Informations- und Mitbestimmungsrechte des Betriebsrats aus. Zur rechtskonformen Erreichung von IT-Sicherheit im Unternehmen ist die ordnungsgemäße Beteiligung des Betriebsrats unerlässlich. Um den Schutz der Arbeitnehmer auch gewährleisten zu können, hat der Betriebsrat verschiedene Mitwirkungs- und Mitbestimmungsrechte:

1. Mitwirkungsrechte

Umfassende Mitwirkungsrechte ermöglichen dem Betriebsrat Zugriff auf Informationen:

  • IT-Sicherheitsvorkehrungen im Unternehmen: Das Zugriffsrecht umfasst auch Informationen zu den IT-Sicherheitsvorkehrungen des Unternehmens, sofern die mit den Vorkehrungen umgesetzten IT-sicherheitsrechtlichen Vorschriften auch auf Arbeitnehmer Anwendung finden. Das ist zumindest im Bereich des Datenschutzrechts der Fall (zum Datenschutzrecht Kort, ZD 2017, 3, 5; s. auch Wedde in Voigt/ von dem Bussche, Konzerndatenschutz, 2. Aufl. (im Erscheinen), Beschäftigtendatenschutz, Rz. 70).
  • IT-Betriebsrichtlinien: Unter die Überwachungsaufgabe des Betriebsrats fällt insbesondere auch die Durchführung von zugunsten der Arbeitnehmer geltenden Betriebsvereinbarungen (Thüsing in Richardi, BetrVG, 15. Auflage 2016, § 80 Rz. 13). So hat der Betriebsrat etwa die Aufgabe, dafür einzutreten, dass der Arbeitgeber Pflichten erfüllt, die sich für diesen aus IT-Betriebsrichtlinien (hierzu Voigt, "Implementierung von IT-Betriebsrichtlinien", CRonline Blog v. 19.7.2018 und detailliert Voigt, IT-Sicherheitsrecht, Rz. 167 ff.) ergeben (vgl. Thüsing in Richardi, BetrVG, 15. Auflage 2016, § 80 Rz. 13). Zur Ausübung dieser Überwachungsaufgaben hat der Betriebsrat gegenüber dem Arbeitgeber u.a. Informationsrechte und einen Anspruch auf Überlassung für die Aufgaben erforderlicher Unterlagen, § 80 Abs. 2 BetrVG.

Zu beachten bleibt allerdings, dass die (durchsetzbaren) Mitwirkungsrechte des Betriebsrats nicht zu dessen Mitbestimmungsrecht in den betroffenen Angelegenheiten führen (siehe auch BAG, Beschl. v. 16.7.1985 – 1 ABR 9/83, DB 1986, 231).

Kurz:  Der Betriebsrat kann Vorschläge bzgl. der verschiedenen Angelegenheiten machen. Der Arbeitgeber ist nicht verpflichtet, diese auch anzunehmen. Damit haben die Mitwirkungsrechte letztlich keinen signifikanten Einfluss auf die Entscheidungen des Arbeitgebers bzgl. der IT-Sicherheit.

2. Mitbestimmungsrechte

Zahlreiche Angelegenheiten mit IT-Sicherheitsbezug im Unternehmen lösen Mitbestimmungsrechte des Betriebsrats aus. Dies ergibt sich insbesondere aus folgenden Vorschriften:

  • Verhalten und Ordnung im Betrieb, § 87 Abs. 1 Nr. 1 BetrVG: Gegenstand der Mitbestimmung ist das betriebliche Zusammenleben und -wirken der Arbeitnehmer, welches der Arbeitgeber beeinflussen und koordinieren kann (Werner in Rolfs/Giesen/Kreikebohm/Udsching, BeckOK ArbeitsR, 44. Edition, Stand: 1.6.2017, § 87 BetrVG Rz. 27 m.w.N.). IT-Betriebsrichtlinien (s. hierzu Voigt, IT-Sicherheitsrecht, Rz. 82 ff.) können so ein Mitbestimmungsrecht auf Grundlage dieser Vorschrift auslösen.
  • Verteilung und Lage der Arbeitszeit, § 87 Abs. 1 Nr. 2 BetrVG: Auch wenn das Mitbestimmungsrecht zunächst keinen IT-Sicherheitsbezug aufzuweisen scheint, können IT-Betriebsrichtlinien zugleich Regelungen zur Arbeitszeit enthalten. Dies betrifft etwa BYOD-Regelungen, die Vorgaben zur zeitlichen dienstlichen Erreichbarkeit oder Rufbereitschaft umfassen.
  • Einführung und Anwendung technischer Einrichtungen, § 87 Abs. 1 Nr. 6 BetrVG: Dieses Mitbestimmungsrecht soll den Schutz des einzelnen Arbeitnehmers gegen anonyme Kontrolleinrichtungen bezwecken, die häufig versteckte Überwachungsmöglichkeiten bieten (Mengel in Hauschka/Moosmayer/Lösler, Corporate Compliance, 3. Auflage 2016, § 39 Rz. 76). Aus diesem Grund unterfallen nicht nur IT-Systeme einem Mitbestimmungsrecht, die tatsächlich der Überwachung von Arbeitnehmern dienen, sondern auch solche, die dies nur objektiv ermöglichen (siehe hierzu Wedde in Voigt/ von dem Bussche, Konzerndatenschutz, 2. Aufl. (im Erscheinen), Beschäftigtendatenschutz, Rz. 95; BAG, Beschl. v. 6.12.1983 – 1 ABR 43/81, NJW 1984, 1476, 1476). Eine Vielzahl EDV-gestützter Anwendungen ist dazu geeignet, Mitarbeiterverhalten am Arbeitsplatz zu beobachten. Der weite Anwendungsbereich dieses Mitbestimmungsrechts führt zu einem Beteiligungsrecht des Betriebsrats bei einer Vielzahl von IT-Sicherheitsfragen.

Unternehmen müssen sicherstellen, den Betriebsrat bei der Umsetzung von IT-Sicherheit im Unternehmen entsprechend frühzeitig einzubeziehen, um dessen Zustimmung zu bewirken.

Bei Verletzung des Mitbestimmungsrechts:

  • hat der Betriebsrat einen einklagbaren Unterlassungsanspruch in Bezug auf die Maßnahme des Arbeitgebers, die der Mitbestimmung durch den Betriebsrat unterliegt.
  • Zudem wird der Arbeitgeber dazu verpflichtet, die vom Unterlassungsanspruch betroffenen Maßnahmen rückgängig zu machen und zu beseitigen.

Beides würde für Unternehmen zu erheblichen Verzögerungen bei der Umsetzung von IT-Sicherheitsvorkehrungen führen und damit die Einhaltung von Sicherheitsstandards erheblich erschweren.

Sofern der Betriebsrat ordnungsgemäß beteiligt wurde, aber seine Zustimmung verweigert, kann der Arbeitgeber jedoch eine Einigungsstelle anrufen, die einen verbindlichen Beschluss in der Angelegenheit fassen wird.

Zurück