Datenschutz bei der Einführung von IT-Systemen
Ob Pincode oder Transponder für den Zutritt, Passwörter für den PC und GPS für das Diensthandy, Maschinen- und Betriebsdatenerfassung: Sicherheits- und Datenerfassungsanforderungen lassen sich mit IT lösen. Aber Einführung und Verwendung der Systeme im Betrieb stehen Hindernisse entgegen, die die Fachabteilung nicht immer im Blick hat: Nicht alles was machbar oder nach Bundesdatenschutzgesetz erlaubt ist, kann in Betrieben mit Betriebsrat ohne weiteres durchgesetzt werden.
Bei der Einführung von IT-Systemen, die Rückschlüsse auf das Verhalten von Mitarbeitern zulassen, ist immer auch die Personalleitung gefragt. Denn ohne enge Zusammenarbeit mit der HR-Stabsstelle kann das effizienteste System, die beste Software zur teuren, aber leider nicht verwendbaren Anschaffung für das Unternehmen werden. Dabei gilt es aus rechtlicher Sicht, zwischen der generellen Zulässigkeit der Datenerhebung und -nutzung nach dem Bundesdatenschutzgesetz sowie Beschränkungen durch das Betriebsverfassungsgesetz, das in Betrieben mit Betriebsräten Geltung hat, zu unterscheiden. Denn nicht alles was machbar und nach Bundesdatenschutzgesetz erlaubt ist, kann in Unternehmen mit Betriebsrat ohne weiteres durchgesetzt werden.
Gesetzliche Regeln für die Datenspeicherung
Grundsätzlich dürfen nach Paragraf 32 des Bundesdatenschutzgesetzes (BDSG) im Arbeitsverhältnis personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet und gespeichert werden. Die Rechtsprechung verlangt dazu nur, dass die Daten zur Durchführung des Arbeitsverhältnisses einmal erforderlich werden können und Arbeitgeber und Arbeitnehmer dazu dienen, Rechte oder Pflichten aus dem Vertragsverhältnis wahrzunehmen. Unter den Oberbegriff ‚Daten‘ fällt hier jede Information, die die Vertragsdurchführung überhaupt ermöglicht, unter anderem also Name, Geburtsdaten, Anschrift, Kontonummer und vieles mehr. Dazu gehören aber auch Leistungsdaten zur Qualifikation eines Arbeitnehmers, Daten zur Arbeitszeit, zu Einsatzmöglichkeiten und Maschinen- und Betriebsdaten, die ebenfalls Auskunft beispielsweise über Leistung und Arbeitszeit des Bedienpersonals einer Maschine oder Anlage geben können. Die neunte Ausgabe von Rockwell Automations „State of Smart Manufacturing“ Report liefert Einblicke in Trends und Herausforderungen für Hersteller. Dazu wurden über 1.500 Fertigungsunternehmen befragt, knapp 100 der befragten Unternehmen kommen aus Deutschland. ‣ weiterlesen
KI in Fertigungsbranche vorn
Auskunftsrechte des Arbeitnehmers
Auch wenn Erhebung, Speicherung und Auswertung der Daten nach BDSG zulässig sind, hat der Arbeitnehmer ein Auskunftsrecht, das er jederzeit geltend machen kann. Dies ergibt sich zum einen aus Paragraf 34 BDSG, umfassender aber aus dem auch in Unternehmen ohne Betriebsrat geltenden Paragraf 83 Absatz 1 des Betriebsverfassungsgesetzes (BetrVG). Diese Regelung gibt Arbeitnehmern ein Einsichtsrecht in die Personalakte, womit alle Speichermedien gemeint sind. Hierdurch entstehen für Unternehmen Kosten, die es nicht an den Arbeitnehmer weitergeben darf.
Mitbestimmung des Betriebsrates
In Betrieben mit Betriebsrat ergeben sich weitreichende Mitbestimmungsrechte, die das Unternehmen vor Einführung von automatisierten Verfahren zur Datenerhebung und Datenspeicherung und Bearbeitung zu beachten hat. Diese resultieren vor allem aus dem Paragrafen 87 BetrVG. Absatz 1 Nummer 1 der Rechtsvorschrift, die dem Betriebsrat ein Mitbestimmungsrecht bei Fragen einräumt, die die Ordnung des Betriebs und das Verhalten der Arbeitnehmer im Betrieb betreffen. Dazu zählen alle Arten von Kontrolleinrichtungen, die dazu dienen, die Ordnung im Betrieb zu gewährleisten, wie die Benutzung von Werksausweisen oder auch Zugangskontrollen zu einzelnen Räumen. Die Bestimmung 6 im gleichen Absatz billigt dem Betriebsrat zusätzlich ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen zu, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.
Rückschlüsse aus Maschinen- und Computerdaten
Zu diesen Einrichtungen gehören die technisierte Zeiterfassung ebenso wie damit kombinierte Zugangskontrollen, unter Umständen aber auch die Erfassung von Maschinendaten. Bei diesen wird zwar in erster Linie nur der Lauf oder die Ausnutzung einer Maschine aufgezeichnet, was unmittelbar betriebswirtschaftlichen Zielen dient. Diese Datenerfassung ist aber nur mitbestimmungsfrei, wenn nicht Rückschlüsse auf das Verhalten oder die Leistung eines Arbeitnehmers gezogen werden können. Wenn die Maschinenkontrolle eine Benutzerkontrolle ermöglicht, ist sie mitbestimmungspflichtig – also dann, wenn Rückschlüsse auf die Leistung individualisierbarer Arbeitnehmer möglich sind.
Das kann der Fall sein, wenn Arbeitnehmer sich mit einer individuellen Kennung einloggen, Daten über das geleistete Arbeitspensum oder Stillstandszeiten der Maschine und der Grund dafür gespeichert werden, aber auch bereits, wenn die Maschinenlaufzeit mit Hilfe eines Schichtplans einzelnen Arbeitnehmern zugerechnet werden kann. Dies dürfte in den meisten Fällen möglich sein, sodass der Betriebsrat regelmäßig ein Mitbestimmungsrecht hat, wenn Maschinen Daten aufzeichnen. Ähnlich stellt sich die Situation beim Einsatz von Computern dar: Theoretisch kann durch die Vergabe von individuellen Kennungen exakt ermittelt werden, wann und wie lange ein Rechner eingeschaltet beziehungsweise am Server angemeldet ist und wie lange daran gearbeitet wurde. Ob eine Mitbestimmungspflicht besteht, hängt davon ab, ob über die Software eine Aufzeichnung der Arbeitszeit und des Arbeitspensums vorgenommen wird. Die bloße Möglichkeit, die ein Computer dazu bietet, reicht nicht aus. Das Mitbestimmungsrecht entsteht erst in dem Augenblick, in dem so in die Software eingegriffen wird, dass eine Leistungskontrolle oder Arbeitszeiterfassung nach dem Willen des Arbeitgebers möglich wird. Das Manufacturing Execution System (MES) HYDRA optimiert Produktionsprozesse für Fertigungsunternehmen, um Wettbewerbsvorteile zu erzielen. ‣ weiterlesen
MES-Integrator und 360-Grad-Partner für optimierte Fertigung
Balanceakt zwischen Datenschutz und Sicherheit
Grundsätzlich löst jede Erhebung von Daten, die alleine oder in Verbindung mit weiteren Informationen und Umständen zur Überwachung des Arbeits- und Leistungsverhaltens genutzt werden können, die Mitbestimmungspflicht durch den Betriebsrat aus. Liegt eine entsprechend mitbestimmungspflichtige Maßnahme vor, hat der Arbeitgeber außerdem durch umfassende Informationserteilung über die Möglichkeiten der geplanten Software sowie durch Verhandlungen mit dem Betriebsrat mit dem Ziel einer Betriebsvereinbarung über das Vorgehen, die praktische Ausgestaltung von IT-System und Abläufen bis hin zu späteren Kontrollen zu gewährleisten. In diesen Verhandlungen wird sich das Spannungsverhältnis zwischen BDSG einerseits und BetrVG anderseits offenbaren. Denn auf der einen Seite wird der Betriebrat auf Regelungen dringen, die sicherstellen, dass der Arbeitgeber seinen Pflichten nach dem BDSG nachkommt.
Nach Paragraf 9 BDSG besteht nämlich die Pflicht, Maßnahmen zum Schutz der gespeicherten Daten zu treffen. Dazu gehört etwa, dass die Datenverarbeitungsanlage vor dem Zugriff Unbefugter und vor der unbefugten Weitergabe und Veränderung geschützt werden muss. Anderseits führen die zum Schutz der Daten erforderlichen Regelungen zu Maßnahmen wie personalisierten Logins oder der Speicherung von Informationen, wer wann und wozu auf Daten zugegriffen und bestimmte Änderungen durchgeführt hat. Auch Zugangssperren zu bestimmten Räumen werden in diesem Zusammenhang sehr häufig eingerichtet. Dies wird andererseits beim Betriebsrat vielfach die Befürchtung wecken, dass die Maßnahmen in Wirklichkeit nicht dem Datenschutz, sondern der Arbeitnehmerüberwachung dienen sollen.
Abstimmungsprozess mit der Arbeitnehmervertretung
In der Regel sind die Verhandlungen mit Betriebsräten über die Einführung neuer IT – in welcher Form auch immer – nicht einfach. Angst und Unkenntnis sind hier Verhandlungsfaktoren, die nicht zu vernachlässigen sind. Die Aufgabe der Fachabteilung lautet hier, für diese Verhandlungen, die in der Regel die Geschäftsführung oder die Personalabteilung mit den Arbeitnehmervertretern führt, Informationen zu System und Abläufen gut und einfach aufzubereiten, so dass sie auch ein Laie leicht nachvollziehen kann. Finden Arbeitgeber und Betriebsrat keine einvernehmliche Lösung für eine Betriebsvereinbarung, ist die Einigungsstelle anzurufen. Der Spruch der Einigungsstelle ersetzt dann die einvernehmliche Lösung.
Durch die Anrufung der Einigungsstelle geht allerdings in der Regel viel Zeit verloren, was für ein Unternehmen durchaus erhebliche Kosten bedeuten kann. Sobald auch nur die Möglichkeit besteht, dass IT-Systeme Arbeitnehmerdaten speichern oder Rückschlüsse auf Arbeitnehmerverhalten geben könnten, ist die Fachabteilung daher gut beraten, schon bei der Konzeptionierung und Planung, auf jeden Fall aber vor Bestellung und Einführung einer Lösung die Personalabteilung zu informieren und mit ihr zusammen zu arbeiten. Denn die beste Software nutzt nur wenig, wenn sie vom Betriebsrat nicht gebilligt und deshalb nicht im Unternehmen eingeführt werden darf.
