IT-Infrastruktur des Arbeitgebers: Nutzbarkeit durch den Betriebsrat?

Im Rahmen einer Beschwerde hat sich der Hamburgische Beauftragte für  Datenschutz und Informationsfreiheit (HmbBfDI) mit der Frage beschäftigt, ob und unter welchen Bedingungen die Nutzung der IT-Infrastruktur des Arbeitgebers durch den Betriebsrat mit dem Datenschutzrecht vereinbar ist (Ziffer 9, Tätigkeitsbericht 2023).

Ideallösung und Wille des Gesetzgebers
Nach dem Willen des Gesetzgebers (§ 2 Abs. 1 des Betriebsverfassungsgesetzes (BetrVG)) streben Betriebsräte und Arbeitgeber eine vertrauensvolle Zusammenarbeit an und unterstützen sie sich gegenseitig bei der Einhaltung der Datenschutzvorschriften ( § 79a S. 3 BetrVG). In der betrieblichen Praxis haben beide Betriebsparteien jedoch tstsächlich entgegengesetzte Interessen. Als Interessenvertretung der Beschäftigten verarbeitet der Betriebsrat regelmäßig Informationen, die auch für den Arbeitgeber, insbesondere in arbeitsrechtlichen Auseinandersetzungen, relevant sind. Daher ist es sowohl ratsam als auch eine gesetzliche Pflicht, dass Betriebsräte die von ihm verarbeiteten Daten angemessen schützen müssen – auch vor einem möglichen und unberechtigten Einblick des Arbeitgebers.

Probleme in der betrieblichen Wirklichkeit
Die praktische Frage ist, ob und wie dies gelingen kann, wenn Betriebsräte
regelmäßig die vom Arbeitgeber bereitgestellte IT-Infrastruktur, wie beispielsweise Netzwerkspeicher und E-Mailkonten nutzen. Diese häufig anzutreffende Praxis könnte nach Auffassung des HmbBfDI ihre Gründe in der arbeitsgerichtliche Rechtsprechung haben, nach der ein arbeitsrechtlicher Anspruch auf eine eigene IT-Ausstattung des Betriebsrats nicht besteht, einschließlich eines eigenen Internet- und Telefonanschlusses (vgl. Urteil des Bundesarbeitsgerichts vom 20.04.2016, Az. 7 ABR 50/14).

Dies erklärt ggf. die Gründe für die Praxis, klärt aber nicht die Frage, ob sich der Betriebsrat ohne weiteres vor dem Hintergrund der Sicherstellung der Vertraulichkeit, auf die Nutzung der Arbeitgeber-IT einlassen darf, denn die Nutzung der IT-Infrastruktur des Arbeitgebers birgt für den Betriebsrat das latente Risiko, dass der Arbeitgeber durch sein (technisches) Administratorenrecht Zugriff auf die Daten des Betriebsrats erlangen könnte, selbst wenn der Zugang eigentlich auf Betriebsratsmitglieder beschränkt ist. Dies gilt für Netzwerkordner genauso wie für E-Mail-Konten.

Lösungsansatz des HmbBfDI

• Eine mögliche Lösung sieht die Hamburgische Aufsichtsbehörde in der Nutzung von Verschlüsselung (nach Stand der Technik), konkret in Form einer vom Betriebsrat kontrollierten Verschlüsselung, deren Schlüssel dem Arbeitgeber nicht bekannt sein darf.
• Ebenso sei zu beachten, dass der Arbeitgeber gemäß § 79a S. 2 BetrVG datenschutzrechtlich für die Verarbeitung der Betriebsratsdaten verantwortlich sei. Eine vom Betriebsrat kontrollierte Verschlüsselung oder eine separate IT-Infrastruktur sei nicht in jedem Falle zwingend erforderlich
• Für die E-Mail-Kommunikation wird eine durchgängige PGP-Verschlüsselung hilfreich vorgeschlagen, der dann natürlich von allen Beteiligten einzusetzen wäre. Um die Vertraulichkeit der vom Betriebsrat verarbeiteten personenbezogenen Daten bestmöglich zu gewährleisten, ist eine von diesem kontrollierte Verschlüsselung gleichwohl vorzugswürdig. Dies erhöhe nicht nur die Vertraulichkeit, sondern schütze auch den Arbeitgeber vor dem Verlust administrativer Rechte, sollte das Arbeitsverhältnis mit dem IT-verantwortlichen Mitarbeiter enden, ohne dass eine Nachfolgeregelung getroffen wurde.

Verleibende Probleme

Der HmbBfDI weist darauf hin, dass folgende Fragen auch bei der durchgängigen Nutzung von Verschlüsselung verbleiben können:

• Metadaten wie die Identität der Beschäftigten, die den Betriebsrat kontaktieren, können für den Arbeitgeber trotz Verschlüsselung zugänglich sein, wenn dieser seine administrativen Rechte ausnutzt.
• Es sei bislang auch nicht die Frage geklärt, ob ein Anspruch des Betriebsrats gegen den Arbeitgeber auf Zurverfügungstellung oder Finanzierung einer Verschlüsselungssoftware bestehe.

(Foto: mapoli-photo – stock.adobe.com)