ArbRB-Blog

Die DSGVO-Meldepflichten bei einer “Datenpanne” im Lichte des BetrVG

avatar  Alexander Lentz

Im Fall einer sogenannten “Datenpanne” ist stets Eile geboten. Die Fristen für Meldungen gemäß Art 33, 34 DSGVO gegenüber Aufsichtsbehörde und Betroffenen sind äußerst knapp bemessen. Ihre Nichtbeachtung schlägt sich regelmäßig bei der Festlegung etwaiger Bußgelder unmittelbar nieder. Im Rahmen ihrer datenschutzrechtlichen Organisationspflichten haben daher die meisten Unternehmen bereits präventiv ein solches Meldeverfahren mit Inkrafttreten der DSGVO etabliert.

Der Beschluss des LAG Kiel v. 06.08.2019 – 2 TaBV 9/19

Ob und inwieweit über die Einzelheiten eines solchen Meldeverfahrens mit dem Betriebsrat zwingend vorab eine Einigung zu erzielen ist, hat jüngst die 2. Kammer des LAG Kiel mit Beschluss v. 06.08.2019 – 2 TaBV 9/19 entschieden. Dort hatte der Arbeitgeber, ein Callcenter, ein standardisiertes Meldeverfahren in Form einer Arbeitsanweisung festgelegt. Dieses beinhaltete u.a. bestimmte Vorgaben bezüglich des Meldeweges und des Inhalts der Meldung. Zudem umfasste es die Verpflichtung, im Anschluss an die Meldung eine kurzfristige Erreichbarkeit für das zu diesem Zweck gebildete Datenschutz-Einsatzteam zu gewährleisten. Der Betriebsrat hatte hingegen andere inhaltliche Vorstellungen.

Das LAG vertrat u.a. die Auffassung, dass diese Vorgaben als Ordnungsverhalten gemäß § 87 Abs. 1 Nr.1 BetrVG der zwingenden Mitbestimmung unterlagen. Bei der Meldung eines Verstoßes, den ein oder mehrere Arbeitskollegen begangen hätten, sei auch das Verhalten der Arbeitnehmer untereinander betroffen. Zudem hätten die zuvor erwähnten Vorgaben zur Erreichbarkeit keinen Bezug zu der Erbringung der geschuldeten Arbeitsleistung. Somit läge kein mitbestimmungsfreies Arbeitsverhalten vor.

Für die Praxis wirft diese Entscheidung insbesondere zwei Fragen auf:

Modalitäten der Meldepflicht als Ordnungsverhalten?

Zum einen scheint die Zuordnung zum Ordnungsverhalten nicht zwingend. Prägend für die Umsetzung der Meldepflichten nach Art. 33, 34 DSGVO durch das Unternehmen ist der große Zeitdruck und das hohe Schadenspotential. Regelmäßig wird daher der Arbeitnehmer, der im Rahmen seiner Tätigkeit über die für die Meldung der “Datenpanne” maßgeblichen Informationen verfügt, gehalten sein, einstweilen seine gesamte Arbeitskraft auf die Unterstützung des Arbeitgebers bei der Meldung zu verwenden. Er hat quasi alles andere stehen und liegen zu lassen und bei der Meldung des Arbeitgebers in der zuvor bestimmten Art und Weise mitzuwirken. Warum dies gleichwohl nicht “die arbeitsvertragliche Arbeitspflicht unmittelbar auf der Grundlage des Weisungsrechts konkretisiert” erschließt sich zumindest nicht auf Anhieb. Denn Bezugspunkt der Weisung/des Meldeverfahrens ist auch hier die konkrete Tätigkeit des Arbeitnehmers als vertragliche Hauptleistungspflicht, deren Inhalt sich aufgrund der temporären Sondersituation “Datenpanne” und der daran angepassten Weisungen für den Zeitraum bis zum Abschluss der Meldung modifiziert. Anders als bei Ethikregeln oder der Anordnung, Namensschilder zu tragen, scheint daher vorliegend eher das “Arbeitsverhalten” und nicht das “Ordnungsverhalten” betroffen.

Umgang mit einer möglichen Mitbestimmungspflicht nach § 87 Abs. 1 Nr. 1 im Eilfall?

Da dies rechtsverbindlich allenfalls das BAG klären dürfte, stellt sich die Frage, wie in der Praxis mit der rechtlichen Bewertung des LAG einstweilen umzugehen ist. Dies gilt insbesondere dann, wenn es über die zuvor einseitig aufgestellten allgemeinen Vorgaben erst anlässlich einer aktuellen Datenpanne – oder unmittelbar in deren Nachgang – zum Streit kommt. Denn bekanntermaßen sind mitbestimmungswidrige Weisungen unverbindlich.

Nicht in allen Unternehmen sind die Beziehungen zwischen den Sozialpartnern so konfliktorientiert wie im Ausgangsfall. Häufig dürften sich daher die Beteiligten im Zuge der allgemeinen Anpassungen angesichts der DSGVO auch über den Inhalt eines  Meldeverfahrens auf irgendeine Weise abgestimmt haben. Auch wenn sodann ggf. nicht alles Inhalt einer Betriebsvereinbarung geworden ist, lässt sich eine solche Abstimmung – je nach Einzelfall – ggf. als Regelungsabrede qualifizieren. Auch in diesem Rahmen kann Mitbestimmung grundsätzlich ausgeübt werden.

Ist dies nicht der Fall, muss sich der Arbeitgeber entscheiden, wie er aufgrund des Zeitdrucks mit dem ggf. trotz aller Bemühungen nicht kurzfristig aufzulösenden Konflikt zwischen datenschutzrechtlichen Handlungspflichten und betriebsverfassungsrechtlichen Unterlassungspflichten umgeht.

Dabei dürfte auch zu berücksichtigen sein, dass einige Gerichte beim Erlass von Unterlassungsverfügungen in vergleichbaren Sachverhaltskonstellationen durchaus zurückhaltend sind. So hat bspw. das LAG Mecklenburg-Vorpommern im Rahmen seiner durchaus kontrovers diskutierten Entscheidung v. 18.10.2016 – 2 TaBVGa 1/16 zu § 87 Abs. 1 Nr. 7 BetrVG einen Antrag auf einstweilige Verfügung eines Betriebsrats abgelehnt. Das dortige Spannungsfeld gesetzlicher Handlungsvorgaben im Gesundheitsschutz und dessen vorübergehende Umsetzung bis zum Abschluss eines Einigungsstellenverfahrens weist insoweit durchaus Parallelen zu der vorliegenden Situation auf.

Daher wird der Arbeitgeber von der Umsetzung der datenschutzrechtlichen Handlungspflicht kaum mit der Begründung absehen können, ihm sei dies aus mitbestimmungsrechtlichen Gründen nicht möglich gewesen.

Schreiben Sie einen Kommentar

Sie müssen sich einloggen um einen Kommentar schreiben zu können.