Suche 
Art. 33 Abs. 1 DSGVO verpflichtet den Arbeitgeber, Datenschutzverletzungen im Betrieb unverzüglich bei der zuständigen Aufsichtsbehörde zu melden. Seiner Meldepflicht kann er jedoch in der Regel nicht ohne Mithilfe der bei ihm beschäftigten Arbeitnehmer nachkommen. Der Arbeitgeber hat daher ein erhebliches Interesse daran, ein Meldesystem zu installieren, um Datenpannen aufzudecken und seine Pflicht gegenüber der Aufsichtsbehörde erfüllen zu können. Das LAG Schleswig-Holstein hat die Notwendigkeit zur Hinzuziehung der eigenen Belegschaft in einer jüngeren Entscheidung indes völlig verkannt und dem Betriebsrat ein Mitbestimmungsrecht bei der Einführung eines Meldesystems zugesprochen (Beschluss v. 06.08.2019 – 2 TaBV 9/19). Der nachfolgende Beitrag setzt sich kritisch mit dem rechtskräftigen Beschluss auseinander und greift einen vom LAG angedeuteten Ausweg aus der Konfliktsituation zwischen gesetzlicher Meldepflicht und betrieblicher Mitbestimmung auf.
Was ist passiert?
Der Arbeitgeber beabsichtigte die Einführung eines standardisierten Meldeverfahrens, um Datenpannen entsprechend den neuen Datenschutzregelungen vermeiden zu können. Vor diesem Hintergrund erteilte er auszugsweise folgende Arbeitsanweisung an seine Belegschaft:
„Prozessbeschreibung
Bei jeder Datenschutzverletzung ist umgehend eine E-Mail mit folgendem Inhalt an die E-Mailadresse […] zu senden:
- Betreff: […]
- Eine kurze
Zusammenfassung der verfügbaren Informationen im Zusammenhang mit der
Verletzung des Datenschutzes, einschließlich, jedoch nicht beschränkt auf
- die Art des Verstoßes personenbezogener Daten,
- die Kategorien und die ungefähre Anzahl der betroffenen Personen,
- die Kategorien der betreffenden personenbezogenen Datensätze,
- ungefähre Anzahl von betroffenen persönlichen Datensätzen,
- die ergriffenen oder geplanten Maßnahmen zur Bekämpfung des Verstoßes […].
Mitwirkung
Derjenige, der eine Datenschutzverletzung feststellt bzw. meldet, ist während des gesamten Prozesses zur Mitwirkung und Unterstützung verpflichtet. Eine kurzfristige Erreichbarkeit ist zu gewährleisten. Abwesenheitszeiten sind beim Datenschutz-Einsatzteam vorab anzumelden.“
Mitbestimmungsrecht des Betriebsrats
Das LAG entschied, dass die Arbeitsanweisung sowohl zur Einhaltung des Meldeprozesses als auch zur anschließenden Mitwirkung der Mitbestimmung des Betriebsrats gemäß § 87 Abs. 1 Nr. 1 BetrVG unterliegt. Die Weisung regele nämlich nicht bloß das mitbestimmungsfreie Arbeitsverhalten der Mitarbeiter („welche Arbeit ist auf welche Art und Weise auszuführen?“), sondern sie betreffe das mitbestimmungspflichtige Ordnungsverhalten. Denn der Arbeitgeber habe eine betriebliche Verhaltensregel geschaffen, mit der er den Arbeitnehmern keine Wahl hinsichtlich der Meldung von Datenpannen lasse. Die Regelung verlange zwingend eine Meldung per E-Mail mit einem vorgegebenen Inhalt. Andere Meldewege, die durchaus denkbar wären (z. B. per Telefon oder mündlich gegenüber dem Vorgesetzten), seien nicht möglich. Auch werde den Arbeitnehmern – unter Einführung gesonderter Abmeldepflichten – vorgeschrieben, dass sie sich während des gesamten Prozesses zur Mitwirkung und Unterstützung bereitzuhalten haben. Ein Bezug zur Erbringung der geschuldeten Arbeitsleistung sei darin nicht erkennbar. Im Ergebnis könne der Arbeitgeber nicht mitbestimmungsfrei darüber entscheiden, welches Meldeverfahren die Arbeitnehmer im Falle einer Datenschutzverletzung einhalten müssen und wie lange und in welcher Weise sie sich im Rahmen von Nachuntersuchungen bereitzuhalten haben.
Kein Ausschluss des Mitbestimmungsrechts wegen gesetzlicher Meldepflicht
Das LAG hält weiter fest, dass ein Mitbestimmungsrecht nach § 87 Abs. 1 BetrVG nur in Betracht kommt, soweit nicht bereits eine gesetzliche Regelung mit Blick auf die mitbestimmte Angelegenheit existiert. Eine das angeordnete Meldeverfahren widerspiegelnde Regelung bestehe jedoch gerade nicht. Zwar führe die Arbeitsanweisung dazu, dass der Arbeitgeber in die Lage versetzt wird, seinen Verpflichtungen nach Art. 33 DSGVO nachzukommen. Allerdings werde durch die DSGVO kein standardisiertes Vorgehen bei der Meldung von Datenschutzverletzungen durch die Arbeitnehmer festgelegt. Erst Recht sehe die DSGVO keine zwingende Meldung von Verstößen per E-Mail vor.
Fazit
Das LAG hat das betriebliche Ordnungsverhalten voreilig als betroffen angesehen, ohne sich genauer mit einer Meldepflicht der Beschäftigten in Bezug auf Datenschutzverletzungen zu befassen.
Eine Meldepflicht kann sich jedoch bereits aus dem Arbeitsvertrag selbst, im Übrigen aus der arbeitsvertraglichen Pflicht zur Rücksichtnahme ergeben. Die Konkretisierung der Rücksichtnahmepflicht betrifft aber das mitbestimmungsfreie Arbeitsverhalten. Die Entscheidungsgründe setzen sich zudem an keiner Stelle mit dem Bezugspunkt der Meldepflicht auseinander. So wird nicht klar, ob die Beschäftigten gehalten sind, solche Datenschutzverletzungen zu melden, die a) durch sie selbst, b) durch das Versagen eines elektronischen Datenverarbeitungssystems und/oder c) gar durch andere Mitarbeiter verursacht worden sind. Stattdessen hat das LAG die Arbeitsanweisung unreflektiert mit der Einführung von Compliance-Richtlinien oder eines Whistleblowing-Systems gleichgesetzt. Dies hätte jedoch einer genaueren Prüfung bedurft.
Gleichwohl ist die Entscheidung nunmehr rechtskräftig und zumindest vorerst bei der Gestaltung eines Meldesystems zu berücksichtigen. Wenn jedoch die Standardisierung des Meldeverfahrens für das LAG der maßgebliche Auslöser des Mitbestimmungsrechts ist, dürfte der Ausweg aus der Mitbestimmungsfalle naheliegen: Bei der Einführung einer Meldepflicht ist die Anweisung eines standardisierten Vorgehens zu vermeiden und das Meldeverfahren offen zu halten. Gleiches gilt für Vorgaben hinsichtlich des Verhaltens im Rahmen von Nachuntersuchungen. Gleichzeitig könnte der Arbeitgeber der Belegschaft ein Meldetool mit einer entsprechenden Nutzungsempfehlung (nicht Nutzungspflicht!) zur Verfügung stellen. Dies dürfte dazu führen, dass die Mehrzahl der Mitarbeiter den gewünschten Meldeweg zumindest freiwillig einhält. ffffffff
