Digitalisierung im internationalen Konzern - Datenschutzfragen und betriebliche Mitbestimmung bei Einführung von IT-Systemen (Jacobi/Krüger, ArbRB 2023, 307)

Die Einführung von IT-Systemen im internationalen Konzern stellt die deutsche Personalabteilung häufig vor Probleme. Bei der Verarbeitung von Daten sind die Vorgaben des Datenschutzrechts zu beachten. Zugleich dauert die Einführung in Deutschland aufgrund der betrieblichen Mitbestimmung häufig länger als in anderen Ländern. Der Beitrag nimmt die genannten Problembereiche in den Blick und bietet Lösungsansätze für Digitalisierungsstrategien.

I. Einleitung
II. Probleme bei der Einführung von IT-Systemen
1. Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG
a) Verhaltens- und Leistungskontrolle
b) Rechte des Betriebsrates
2. Datenschutz
a) Erlaubnistatbestand für die Datenverarbeitung
b) Weitere datenschutzrechtliche Vorgaben
aa) Verarbeitungsverzeichnis
bb) Löschfristenkonzept
cc) Berechtigungskonzept
c) Datentransfer ins Nicht-EU-Ausland
III. Lösungsansätze
1. Digitalisierungsstrategie
a) Bestandsaufnahme
b) Workshops und Multiplikatoren
c) Gleichzeitige Einführung verschiedener Systeme
d) Sprache
2. Vertrauen
a) Betriebsrat
b) Beschäftigte
IV. Fazit


I. Einleitung
Internationale Konzerne agieren immer vernetzter. Ob die Beschäftigten in Deutschland, den USA, in Rumänien oder in Portugal ansässig sind, ist für viele Konzerne nicht mehr relevant. Für eine solche Zusammenarbeit über die Ländergrenzen hinweg ist die Verwendung einer einheitlichen (Kommunikations-)Software erforderlich. Darüber hinaus besteht häufig der Wunsch, die Beschäftigtendaten konzernweit bei der Muttergesellschaft zu verarbeiten. Ein Beispiel hierfür ist die Einführung eines konzernweit geplanten Performance-Management-Systems.

In Deutschland sind dabei neben den Vorgaben des Datenschutzrechts auch die Vorgaben der betrieblichen Mitbestimmung zu beachten.

II. Probleme bei der Einführung von IT-Systemen
Gerade in Konzernobergesellschaften mit Sitz in den USA, aber auch andernorts, herrscht häufig wenig Verständnis für die Probleme, die die Einführung von IT-Systemen im internationalen Konzern der deutschen Tochtergesellschaft bereitet. Der Zeitaufwand, der für die betriebliche Mitbestimmung einkalkuliert werden muss, wird häufig zu kurz bemessen.

In datenschutzrechtlicher Hinsicht ist das Problembewusstsein in den letzten Jahren zwar deutlich gestiegen. Eine Folge des gestiegenen Problembewusstseins ist aber auch die Neigung vieler Betriebsräte, Vorgaben des Datenschutzrechtes ausführlich zu diskutieren und sodann in der Betriebsvereinbarung festhalten zu wollen.

1. Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG
Nach der Rechtsprechung des ersten Senats des BAG genügt bereits die Möglichkeit einer Überwachung von Arbeitnehmerverhalten oder -leistung, unabhängig von der Intention des Arbeitgebers, um die Mitbestimmungsrechte des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG auszulösen. So wird die Mitbestimmung bei Einführung eines neuen IT-Systems nahezu immer relevant.

a) Verhaltens- und Leistungskontrolle
Mitbestimmt ist die Einführung eines technischen Systems, welches dazu bestimmt oder geeignet ist, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.

Beraterhinweis
Angesichts dieser weiten Definition sind die meisten der modernen IT-Systeme womöglich geeignet, in irgendeiner Weise das Verhalten oder die Leistung der Beschäftigten zu überwachen, wie z.B. ein modernes Druckersystem. Im Einzelfall kann es gelingen, die technischen Voreinstellungen derart zu konfigurieren, dass verzichtbare Informationen nicht verarbeitet werden, so dass die Eignung zur Verhaltensüberwachung entfällt.

Ist geplant, dieselbe Software weltweit einzuführen, sollte bereits frühzeitig berücksichtigt werden, inwieweit datenschutzfreundliche Voreinstellungen vorhanden sind, und inwieweit es möglich ist, ....